码迷,mamicode.com
首页 >  
搜索关键字:注入漏洞    ( 407个结果
sql注入攻击与防御第二版读书笔记二——SQL注入测试
寻找SQL注入 该阶段的主要目标是识别服务器响应中的异常并确定是否由SQL注入漏洞产生,随后确定在服务器端运行的SQL查询的类型(select,update,insert或delete),以及将攻击代码注入查询中的位置(比如from,where或者order by等) 我们需要关注:get,post ...
分类:数据库   时间:2016-09-07 09:10:10    阅读次数:148
web 应用的常见 漏洞有哪些
总结下web常见的几个漏洞1.SQL注入2.XSS跨站点脚本3.缓冲区溢出4.cookies修改5.上传漏洞6.命令行注入1sql漏洞SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不..
分类:Web程序   时间:2016-09-05 17:22:28    阅读次数:199
9_任意代码执行(字符串转换成代码执行)
一、背景介绍 当应用在调用一些能将字符串转化为代码的函数(如php中的eval)时,没有考虑用户是否能控制这个字符串,将造成代码注入漏洞。狭义的代码注入通常指将可执行代码注入到当前页面中,如php的eval函数,可以将字符串代表的代码作为php代码执行,当用户能够控制这段字符串时,将产生代码注入代码 ...
分类:其他好文   时间:2016-08-31 02:05:05    阅读次数:866
挖洞技巧
1.1 补天不收的漏洞 ①反射XSS ②CSRF ③目录遍历 ④二进制(据补天审核说,他们没人看的懂,没法审,所以不收) 2、尝试常用漏洞 2.1 爆破 2.2 CMS通用漏洞 2.3 SQL注入漏洞 2.4 XSS漏洞 2.5 越权和逻辑漏洞 2.5.1 越权 付费厂商多见于ID参数,比如type ...
分类:其他好文   时间:2016-08-30 22:40:21    阅读次数:330
zabbix再爆高危SQL注入漏洞,可获系统权限
zabbix是一个开源的企业级性能监控解决方案。近日,zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。 ...
分类:数据库   时间:2016-08-22 08:13:19    阅读次数:199
zabbix再爆高危SQL注入漏洞,可获系统权限
漏洞概述 zabbix是一个开源的企业级性能监控解决方案。近日,zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。 官方网站 http:// ...
分类:数据库   时间:2016-08-21 13:53:42    阅读次数:184
zabbix注入过程分析
Zabbix jsrpc.php sql 注入过程分析 漏洞公开详情(https://support.zabbix.com/browse/ZBX-11023)中提示在insertDB() 中的insert方式存在SQL注入漏洞,如下图: 我们来逐步分析下 直接定位到cprofile:flush()函 ...
分类:其他好文   时间:2016-08-21 00:49:49    阅读次数:151
zabbix2.2.11升级到zabbix3.0.4
近期zabbix出现一个漏洞。zabbix的jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞,攻击者无需授权登陆即可登陆zabbix管理系统,也可通过script等功能轻易直接获取zabbix服务器的操作系统权限。这个漏洞在zabbix3.0.4已经修复,为了安全,升级下zabbix版本!http://mp.wei..
分类:其他好文   时间:2016-08-19 22:34:35    阅读次数:189
Zabbix 2.2.x / 2.4.x/ 3.0.0-3.0.3 - SQL Injection
漏洞来源:http://seclists.org/fulldisclosure/2016/Aug/60攻击成本:低危害程度:高利用条件:需要guest用户权限(未登录用户都被设定为guest用户的访问权限)影响范围:2.2.x/2.4.x/3.0.0-3.0.3修复建议:禁用guest用户或者升级到3.0.4漏洞利用:爆密码sanr.com/zabbix/jsrpc.php?..
分类:数据库   时间:2016-08-18 21:46:45    阅读次数:288
XML实体注入漏洞
参考资料: XXE漏洞攻防 http://www.waitalone.cn/xxe-attack.html XXE注入攻击与防御 https://www.91ri.org/9539.html ...
分类:其他好文   时间:2016-08-18 21:08:54    阅读次数:129
407条   上一页 1 ... 25 26 27 28 29 ... 41 下一页
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!