如何在url中注入带空格的命令?

时间:2018-02-24 02:33:24

标签: javascript linux security

我试过以下但是得到了 " 1个新电子邮件"

http://url:portNo/search?name=%3Bmail&&ls%7C&field2=1084&matnr=2391068

这意味着邮件已被执行但不是ls。

页面提交是通过一个java脚本提交表单,它使用""

进行字符串替换/ / g

我尝试更换线路,甚至将其移除但产生的结果相同。

如何注入像" echo p |这样的命令邮件"

注意:使用"不起作用。

1 个答案:

答案 0 :(得分:1)

要在网址中使用空格,您需要使用备用%20序列来转义它们。有一个遗留替代品,包括使用+符号代替空间....但我认为现在强烈建议不要这样做。