1. SQL 注入 SQL 注入就是通过给 web 应用接口传入一些特殊字符,达到欺骗服务器执行恶意的 SQL 命令。 SQL 注入漏洞属于后端的范畴,但前端也可做体验上的优化。 当使用外部不可信任的数据作为参数进行数据库的增、删、改、查时,如果未对外部数据进行过滤,就会产生 SQL 注入漏洞。 比 ...
分类:
Web程序 时间:
2019-02-01 11:32:11
阅读次数:
188
目录: 一、SQL注入漏洞介绍 二、修复建议 三、通用姿势 四、具体实例 五、各种绕过 一、SQL注入漏洞介绍: SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作(如关 ...
分类:
数据库 时间:
2019-01-26 00:49:44
阅读次数:
243
还是先找到注入点,然后order by找出字段数:4 通过SQL语句中and 1=2 union select 1,2,3……,n联合查询,判断显示的是哪些字段,就是原本显示标题和内容时候的查询字段。此处返回的是错误页面,说明系统禁止使用union进行相关SQL查询,我们得使用其他方式进行手工SQL ...
分类:
数据库 时间:
2019-01-21 23:21:18
阅读次数:
261
XXE XXE漏洞的文章网上就很多了 文件读取 内网探测 命令执行 Dos攻击 Blind XXE payload http://www.xxx.com/evil 复现 容器启动后先看一下其中的代码 从php://input读取数据,直接post就行 参考: "浅谈XXE漏洞攻击与防御" ...
分类:
Web程序 时间:
2019-01-13 12:27:02
阅读次数:
254
骑士CMS是国内公司开发的一套开源人才网站系统,使用PHP语言开发以及mysql数据库的架构,2019年1月份被某安全组织检测出漏洞,目前最新版本4.2存在高危网站漏洞,通杀SQL注入漏洞,利用该网站漏洞可以获取网站的管理员账号密码以及用户账号信息.目前很多人才网站都使用的骑士CMS系统,受影响的网站较多,关于该网站漏洞的详情我们来详细的分析一下。骑士cms4.2最新版本使用了thinkphp的架
分类:
Web程序 时间:
2019-01-03 10:52:47
阅读次数:
133
PrestaShop网站的漏洞越来越多,该网站系统是很多外贸网站在使用的一个开源系统,从之前的1.0初始版本到现在的1.7版本,经历了多次的升级,系统使用的人也越来越多,国内使用该系统的外贸公司也很多,PrestaShop扩展性较高,模板也多,多种货币自由切换,并支持信用卡以及paypal支付,是外贸网站的首选。就在最近几天,PrestaShop被爆出有远程代码注入漏洞,该漏洞影响范围较光,危害较
分类:
Web程序 时间:
2019-01-01 11:06:29
阅读次数:
218
0×01 前言 2018年5月,在Red Hat Enterprise Linux多个版本的DHCP客户端软件包所包含的NetworkManager集成脚本中发现了命令注入漏洞(CVE-2018-1111),该漏洞目前已经进行了修补。攻击者可以通过本地网络上的恶意DHCP服务器或使用恶意的虚假DHC ...
分类:
其他好文 时间:
2018-12-22 23:20:10
阅读次数:
339
SQL 注入漏洞存在的原因,就是拼接 SQL 参数。也就是将用于输入的查询参数,直接拼接在 SQL 语句中,导致了SQL 注入漏洞。 简单来说,就是别人可以通过你的语法漏洞向你的数据库随便添加数据 解决办法: 采用sql语句预编译和绑定变量,是防御sql注入的最佳方法 其原因就是:采用了Prepar ...
分类:
数据库 时间:
2018-12-21 12:57:53
阅读次数:
221
S-CMS企建v3二次SQL注入 0x01 前言 继上一篇的S-CMS漏洞再来一波!首发T00ls 0x2 目录 Sql注入二次SQL注入 0x03 Sql注入 漏洞文件:\scms\bbs\bbs.php 相对来说这个注入比较简单,$B_sort 无过滤直接从POST获取,然而在SELECT查询的 ...
分类:
数据库 时间:
2018-12-20 15:45:07
阅读次数:
296
2018年12月9日,国内某安全组织,对discuzX3.2X3.4版本的漏洞进行了公开,这次漏洞影响范围较大,具体漏洞是discuz的用户前段SQL注入与请求伪造漏洞,也俗称×××F漏洞,漏洞产生的原因首先:php环境的版本大约PHP5.2,dizcuzX3.2X3.4版本,服务器环境是windows200820032012系统,linuxcentos不受此漏洞的影响。漏洞的详情与利用该漏洞产生
分类:
数据库 时间:
2018-12-10 18:10:16
阅读次数:
241
