V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ultraqs
V2EX  ›  程序员

伪静态对于 web 安全有没有意义,或者说有多大意义

  •  
  •   ultraqs · 2015-03-15 22:21:00 +08:00 · 2610 次点击
    这是一个创建于 3542 天前的主题,其中的信息可能已经有所发展或是发生改变。
    貌似伪静态站的SQL注入中招率会比直接get参数的站低,故此疑
    7 条回复    2015-03-16 21:58:20 +08:00
    julyclyde
        1
    julyclyde  
       2015-03-15 23:23:32 +08:00
    考虑到rewrite规则也是个坑……只存在统计意义上的低而已
    NewYear
        2
    NewYear  
       2015-03-16 00:13:22 +08:00
    @julyclyde
    先引用楼主的标题,并且断章取义
    “web安全有没有意义,或者说有多大意义”

    然后引用你的回答,断章取义
    “只存在统计意义上的低而已”
    Actrace
        3
    Actrace  
       2015-03-16 08:27:04 +08:00
    伪静态是为过去的搜索引擎优化检索的一种方式。
    b821025551b
        4
    b821025551b  
       2015-03-16 10:33:35 +08:00
    伪静态和安全有什么关系吗?据我说知是给搜索引擎爬内容的,SEO优化
    smileawei
        5
    smileawei  
       2015-03-16 10:39:03 +08:00
    额 伪静态也是强迫症患者的福音吧。
    Ryans
        6
    Ryans  
       2015-03-16 11:47:34 +08:00
    sqlmap 也支持伪静态的注入,所以如果后台代码有问题的话,还是会中招

    例如 python sqlmap.py -u xxxx.com/page/2014/753*
    ultraqs
        7
    ultraqs  
    OP
       2015-03-16 21:58:20 +08:00
    @b821025551b 问题在于很多伪静态网站在提交参数修改之后不会返回错误的查询结果,而是直接抛给你一个404页面,即使没有过滤参数也得不到注入的返回结果
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5862 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 06:06 · PVG 14:06 · LAX 22:06 · JFK 01:06
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.