一、网站有哪些安全问题 1、网站程序问题 网站程序是个大问题,假如程序挑选的不对,被侵略的时机非常大。许多网站都是下载一些免费开源的源码来做网站的,此类型网站有2种情况。 下载一个毫无闻名度的免费源码,此类的免费源码被侵略的可能性超越百分之99,由于免费,使用者少,开发者更不会去完善缝隙,更不会去晋 ...
分类:
Web程序 时间:
2019-12-25 23:50:03
阅读次数:
123
一、宽字节注入1、什么是宽字节GB2312、GBK、GB18030、BIG5等这些都是常说的宽字节,实际为两字节2、宽字节注入原理防御:将‘转换为\‘绕过:将\消灭mysql在使用GBK编码的时候,会认为两个字符为一个汉字\编码为%5c‘编码为%27%df%5cmysql会认为是一个汉字构造:%df‘%df\‘%df%5c%27其中%df%5c将成为一个汉字
分类:
数据库 时间:
2019-01-09 12:18:12
阅读次数:
296
SQL注入防御绕过——二次编码 01 背景知识 一、为什么要进行URL编码 通常如果一样东西需要编码,说明这样东西并不适合传输。对于URL来说,编码主要是为了避免引发歧义与混乱。例如,URL参数字符串中使用key=value键值对这样的形式来传参,键值对之间以&符号分隔,如/?name=abc&pw ...
分类:
数据库 时间:
2018-07-05 11:02:13
阅读次数:
3529
0x00 前言 ngx_lua_waf是一款基于ngx_lua的web应用防火墙,使用简单,高性能、轻量级。默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则: 这边主要分享三种另类思路,Bypass ngx_lua_waf SQL注入防御。 0x01 环境搭建 github源码: ...
分类:
数据库 时间:
2018-06-12 14:10:12
阅读次数:
228
D盾旧版: 00前言 D盾_IIS防火墙,目前只支持Win2003服务器,前阵子看见官方博客说D盾新版将近期推出,相信功能会更强大,这边分享一下之前的SQL注入防御的测试情况。D盾_IIS防火墙注入防御策略,如下图,主要防御GET/POST/COOKIE,文件允许白名单设置。 构造不同的测试环境,I ...
分类:
数据库 时间:
2018-06-12 13:35:10
阅读次数:
393
0x00 前言 在服务器客户端领域,曾经出现过一款360主机卫士,目前已停止更新和维护,官网都打不开了,但服务器中依然经常可以看到它的身影。从半年前的测试虚拟机里面,翻出了360主机卫士Apache版的安装包,就当做是一个纪念版吧。这边主要分享一下几种思路,Bypass 360主机卫士SQL注入防御 ...
分类:
数据库 时间:
2018-06-07 14:15:22
阅读次数:
220
0x00 前言 ? ngx_lua_waf是一款基于ngx_lua的web应用防火墙,使用简单,高性能、轻量级。默认防御规则在wafconf目录中,摘录几条核心的SQL注入防御规则: 这边主要分享三种另类思路,Bypass ngx_lua_waf SQL注入防御。 0x01 环境搭建 github源 ...
分类:
数据库 时间:
2018-06-04 14:25:28
阅读次数:
231
0x00 前言 ? X-WAF是一款适用中、小企业的云WAF系统,让中、小企业也可以非常方便地拥有自己的免费云WAF。 ? 本文从代码出发,一步步理解WAF的工作原理,多姿势进行WAF Bypass。 0x01 环境搭建 官网:https://waf.xsec.io github源码:https:/ ...
分类:
数据库 时间:
2018-06-04 14:18:38
阅读次数:
290
0x00:php内置过滤函数php有内置的函数用来防御攻击,简单的介绍几个函数。魔术引号当打开时,所有的‘(单引号),"(双引号),\(反斜线)和NULL字符都会被自动加上一个反斜线进行转义。这和addslashes()作用完全相同。一共有三个魔术引号指令:magic_quotes_gpc影响到HTTP请..
分类:
数据库 时间:
2017-06-02 17:25:07
阅读次数:
237
基于代码修改的防御 和SQL注入防御一样,XSS攻击也是利用了Web页面的编写疏忽,所以还有一种方法就是从Web应用开发的角度来避免: 步骤1、对所有用户提交内容进行可靠的输入验证,包括对URL、查询关键字、HTTP头、POST数据等,仅接受指定长度范围内、采用适当格式、采用所预期的字符的内容提交, ...
分类:
其他好文 时间:
2016-12-01 11:51:25
阅读次数:
317
