HEAD注入是什么?
Head指的是我們的request和response中的頭部部位,其中包含了眾多字段值,所以不要理解head為單獨的一個字段,而是一個很多字段的集合 (比如:User-Agent,x-forwarded-for,Referer這些字段都屬于HEAD)
HEAD注入就是修改抓住了的包里的請求頭中的數(shù)據(jù),再把修改之后的包放入數(shù)據(jù)庫中,修改的數(shù)據(jù)會被當作命令執(zhí)行,再利用數(shù)據(jù)庫中的報錯來回顯我們查找的信息(注意:抓取的發(fā)送包里HEAD部分任意一處都可以被注入)
head注入,一般是需要配合成功登錄的。目標網(wǎng)址會記錄你的一些head信息,放進數(shù)據(jù)庫,那么只要放進數(shù)據(jù)庫,就說明與數(shù)據(jù)庫產(chǎn)生了交互。
