sql注入漏洞 原理:由于开发者在编写操作数据库代码时,直接将外部可控参数拼接到sql 语句中,没有经过任何过滤就直接放入到数据库引擎中执行了。 攻击方式: (1) 权限较大时,直接写入webshell 或者直接执行系统命令 (2) 权限较小时,通过注入获得管理员密码信息,或者修改数据库内容进行钓鱼 ...
分类:
数据库 时间:
2018-07-29 00:51:24
阅读次数:
257
DVWA列出了最流行、危害最大的几个漏洞中就有命令注入漏洞。这种漏洞利用起来非常的简单。只要会使用基本的命令就可以利用,入门门槛非常非常的低。以DVWA为靶机,测试一下命令注入漏洞。 ...
分类:
其他好文 时间:
2018-07-27 01:30:58
阅读次数:
153
DVWA列出了最流行、危害最大的几个漏洞中就有命令注入漏洞。这种漏洞利用起来非常的简单。只要会使用基本的命令就可以利用,入门门槛非常非常的低。以DVWA为靶机,测试一下命令注入漏洞。
分类:
其他好文 时间:
2018-07-27 01:23:04
阅读次数:
178
本实验要求实验者具备如下的相关知识。 SQL 注入是一种攻击方式,在这种攻击方式中,恶意代码被插入到字符串中,然后将该字符串传递到 SQL Server 的实例以进行分析和执行。任何构成 SQL 语句的过程都应进行注入漏洞检查,因为 SQL Server 将执行其接收到的所有语法有效的查询。一个有经 ...
分类:
其他好文 时间:
2018-07-25 19:06:03
阅读次数:
168
阅读书籍:《黑客脚本全本》、第240页、关于dedecms v5.1 tag.php 注入漏洞复现问题。 书中作者这个漏洞复现有些不正确、 #0x01 文件/tag.php 跟进TagList函数: 跟进__construct 构造函数: $tag过程: 经过一次urldecode解码以后直接带入数 ...
分类:
其他好文 时间:
2018-07-23 12:29:22
阅读次数:
211
PHP + MySQL、ASP + MSSQL、JSP + PostgreSQL各种组合层出不穷,最终LAMP占了绝对的上风。这种动态页面和数据库结合的方式好处在于可以快速地更换关键位置的参数,坏处则是有可能带来SQL注入漏洞。 ...
分类:
数据库 时间:
2018-07-17 16:27:45
阅读次数:
235
注入产生的原理: 数据库设置为GBK编码: 宽字节注入源于程序员设置MySQL连接时错误配置为:set character_set_client=gbk,这样配置会引发编码转换从而导致的注入漏洞. 1、正常情况下,当GPC开启或者使用addslashes函数会过滤GET或POST提交的参数时,黑客使 ...
分类:
数据库 时间:
2018-07-10 01:17:37
阅读次数:
209
0x00、XXE漏洞 XXE漏洞全称XML External Entity Injection 即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。 X ...
分类:
Web程序 时间:
2018-06-29 21:39:49
阅读次数:
244
1. sql注入: 在sql语句中,如果存在'--'字符,则执行sql语句时会注释掉--字符后面的内容。凡有SQL注入漏洞的程序,都是因为程序要接受来自客户端用户输入的变量或URL传递的参数,并且这个变量或参数是组成SQL语句的一部分。 危害: 1.非法读取、篡改、删除数据 2.盗取用户的各类敏感信 ...
分类:
Web程序 时间:
2018-06-18 11:57:12
阅读次数:
241
学习网址:http://www.cnblogs.com/rush/archive/2011/12/31/2309203.html https://www.cnblogs.com/sdya/p/4568548.html 网络安全:网络攻击技术——Broken authentication 网络攻击技术 ...
分类:
数据库 时间:
2018-06-17 23:20:43
阅读次数:
253