ENTITY 实体 在一个甚至多个XML文档中频繁使用某一条数据,我们可以预先定义一个这条数据的“别名”,即一个ENTITY,然后在这些文档中需要该数据的地方调用它。 XML定义了两种类型的ENTITY,一种在XML文档中使用,另一种作为参数在DTD文件中使用。 ENTITY的定义语法: <!DOC ...
分类:
其他好文 时间:
2017-09-26 21:04:27
阅读次数:
281
1. http://jingyan.baidu.com/article/4d58d541ce04ae9dd4e9c0f9.html 2. asp网页很怕注入漏洞,特别是比较老的企业网站,很多都有注入漏洞,怎么用啊D注入工具检测asp网站注入漏洞? 啊D注入工具是一种主要用于SQL的注入工具,由彭岸峰 ...
分类:
Web程序 时间:
2017-09-22 11:54:47
阅读次数:
369
本文写的是一次曲折的拿北大青鸟某地方学校网站shell的过程。 之前也曾拿过一个北大青鸟某网站的文章,我再次萌生了我个北大青鸟的网站练练手的想法。其实以前我也尝试过检测了几个北大青鸟地方学校的网站,简单看了下没有注入漏洞没有弱口令就放弃了。看了文章拿站的过程,方法并不难,所以我也决定找个网站来练练手 ...
分类:
Web程序 时间:
2017-09-13 13:10:51
阅读次数:
239
启航企业建站系统 cookie注入漏洞通杀所有版本 直接上exploit:javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from adm ...
分类:
Web程序 时间:
2017-09-10 15:48:46
阅读次数:
1712
参数化查询防止SQL注入漏洞 看别人的登录注册sql语句有没漏洞即可 Where name=‘admin’ or ‘1=1’ and password=’123’; 可以Or ‘1=1’就是漏洞 http://jingyan.baidu.com/article/27fa7326f53ea746f92 ...
分类:
数据库 时间:
2017-09-03 09:55:25
阅读次数:
176
渗透测试中,SQL注入是一种很常见的高危漏洞,但是如果我们仅仅靠手工注入的话,那么效率是十分低下的,并且有时有些语句还记不住,而sqlmap就是一款专门针对SQL注入的自动化工具!下载地址:http://sqlmap.org/虽然sqlmap是针对SQL注入漏洞的利用神器,但是如果完全依赖于它也..
分类:
数据库 时间:
2017-08-20 10:06:58
阅读次数:
168
C#参数化执行SQL语句,防止漏洞攻击本文以MYSQL为例【20151108非查询操作】 为什么要参数化执行SQL语句呢? 一个作用就是可以防止用户注入漏洞。 简单举个列子吧。 比如账号密码登入,如果不用参数, 写的简单点吧,就写从数据库查找到id和pw与用户输入一样的数据吧 sql:select ...
分类:
数据库 时间:
2017-08-18 11:50:07
阅读次数:
194
Sql Server 中将由逗号“,”分割的一个字符串,转换为一个表,并应用与 in 条件 这样的语句和常用,但是如果in 后面的 1,2,3是变量怎么办呢,一般会用字符串连接的方式构造sql语句 然后执行 sqltxt 这样的风险是存在sql注入漏洞。那么如何在 in 的条件中使用变量呢?可以把形 ...
分类:
数据库 时间:
2017-08-08 20:47:19
阅读次数:
303
web-inf文件夹在正常情况下系统是不允许外界直接访问的,访问里面的文件就会出现404错误,但是系统可以自身进行访问,所有要使系统去访问的话就需要使用拦截控制器去接受外界命令,由控制器来转发访问请求,这样将网页放到web-inf下能降低网页的注入漏洞和BUG的出现概率,能很好的维护系统稳定! ...
分类:
Web程序 时间:
2017-08-04 18:22:33
阅读次数:
176