绕过安全狗的注入攻击策略：%00.&技巧

本文主要讨论的是在网络安全环境中如何通过特定的SQL注入技巧来绕过安全狗（一种常见的网站安全防护系统）进行进一步的渗透和攻击。作者首先提到在90sec论坛上的经历，由于对于信息安全的兴趣，他尝试了解一些技术认证如思科的相关内容，这触发了他对SQL注入的学习和实践。 在探索过程中，作者注意到安全狗通常会过滤一些常见的SQL注入语句，例如`xx.asp?id=69and1=1`和`xx.asp?id=69and1=2`，这类字符串会被阻止以防止恶意操作。然而，当注入语句采用编码方式，如`xx.asp?0day5.com=%00.&xw_id=69%20and1=1`和`xx.asp?0day5.com=%00.&xw_id=69%20and1=2`时，安全狗则不会识别其为恶意行为，可以直接在工具中使用。这里的关键在于利用百分号 `%` 转义字符`%00`以及`.`来规避过滤，实现注入目的。 文章强调，虽然全文的重点并不在于具体的提权或获取shell技术，而是分享绕过安全狗的思路。作者提到的绕过实例链接指向了一个可能包含此类技术演示或解释的资源，可能是某个漏洞测试平台或者论坛帖子，那里提供了实际的操作步骤和案例分析。 90sec是国内新兴的信息安全论坛，致力于web安全、软件安全和无线安全等领域技术交流，旨在维护网络安全并鼓励技术爱好者参与。该论坛的宗旨是构建一个积极的技术社区，共同探讨并防范类似SQL注入这样的威胁，同时促进网络安全意识和技术的进步。 本文的核心知识点包括理解SQL注入的基本原理，利用编码技巧（如`%00`和`.`）绕过安全狗的防御机制，以及在实际环境中应用这些技巧进行安全测试。这对于任何关注网络安全的人来说，都是值得深入学习和掌握的重要技能。