介绍:关于sql注入的基础知识,我上篇文章也写过了,这篇就用靶机的漏洞环境来实践操作一下,所谓实践出真理嘛,我们这次试用的漏洞平台是DVWA,Github下载地址:DVWA关于一下注入的基本知识或者姿势,我会在实践中详解。实验:LOW等级先输入1看一下我们在加个单引号这里的搜索框为什么没有显示单引号呢?因为被url编码了一般的url编码其实就是那个字符的ASCII值得十六进制,再在前面加个%。具体
分类:
数据库 时间:
2019-08-09 15:58:14
阅读次数:
113
CSRF:跨站请求伪造攻击 Security:Low 级别分析 核心代码 输入数据,以便Burp代理获得请求参数 这里可以将第一行拿出来进行构造链接, http://202.100.10.129/dvwa/vulnerabilities/brute/?username=111&password=11 ...
分类:
其他好文 时间:
2019-07-27 18:26:05
阅读次数:
598
目录 小马:一句话木马也成为小马<?php @eva($_REQUEST['cmd']);?>http://192.168.2.141/dvwa/hackable/uploads/test.php?cmd=phpinfo() ...
分类:
Web程序 时间:
2019-07-23 00:30:48
阅读次数:
193
文件包含漏洞 前言: 由于开发人员编写源码,将可重复使用的代码插入到单个的文件中,并在需要的时候将它们包含在特殊的功能代码文件中,然后包含文件中的代码会被解释执行。由于并没有针对代码中存在文件包含的函数入口做过滤,导致客户端可以提交恶意构造语句提交,并交由服务器端解释执行。文件包含攻击中WEB服务器 ...
分类:
其他好文 时间:
2019-07-01 21:22:41
阅读次数:
130
XSS存储型跨站攻击(Stored Cross Site Scripting) 前言: 相较于XSS反射型跨站攻击,存储型具有更严重的危害,如果在窃取信息的同时对网页没有任何变化,那受害者将很难发现。 如果我有写的不太明白的地方,可以先看看之前XSS反射型跨站攻击的随笔 low: 1.观察: 测试输 ...
分类:
其他好文 时间:
2019-06-24 22:43:13
阅读次数:
289
简析 在此之前,已经学习了SQL注入,盲注是注入的进一步方法,更接近实战。而且因为“盲”字,注入也变得异常繁琐。本篇将先对DVWA的四个等级的盲注进行学习分析;然后是对盲注方法的学习心得。 在第一篇,我提到过: 习惯上输入1,可以看到返回对应1的数据库中的内容,而且输出三行,分别是 ID:1 Fir ...
分类:
数据库 时间:
2019-06-14 23:33:34
阅读次数:
188
DVWA 环境搭建和安装简易使用 DVWA的简介 首先,DVWA有多个模块,涉及网络安全的方方面面,其次,代码等级分为Low,Medium,High,Impossible四个等级,在官方介绍中有提到High难度跟ctf接近。 因为研究生阶段即将开始网安的学习,所以好好研究DVWA成了开学前给自己的重 ...
分类:
数据库 时间:
2019-06-13 13:28:25
阅读次数:
179
漏洞环境搭建 DVWA、XSS、sqli-labs
# 本地shentou测试环境
在学习网络安全中,常常没有真实实验环境帮助自己动手提升技术能力,而本地shentou测试环境就为大家带来了便利。本地shentou测试环境:搭建于本地来进行shentou测试的环境,通常是以网站,系...
分类:
系统相关 时间:
2019-06-09 11:17:41
阅读次数:
124
关于这个damn vulnerable web application,如下链接有下载地址及配置方法 https://my.oschina.net/u/3776619/blog/1803401 https://blog.csdn.net/qq_35544379/article/details/775 ...
分类:
移动开发 时间:
2019-06-02 17:45:56
阅读次数:
129
