1.判断是否存在注入,注入是字符型还是数字型2.猜解SQL查询语句中的字段数3.确定回显的字段数4.获取当前数据库5.获取表中字段名6.下载数据 ...
分类:
数据库 时间:
2020-02-03 09:39:49
阅读次数:
73
http://192.168.136.131/sqlmap/mysql/get_int.php?id=1当给sqlmap这么一个url的时候,它会:1、判断可注入的参数2、判断可以用那种SQL注入技术来注入3、识别出哪种数据库4、根据用户选择,读取哪些数据sqlmap支持五种不同的注入模式:1、基于 ...
分类:
数据库 时间:
2020-02-02 19:24:45
阅读次数:
135
1.黑客攻击的第一个受害主机的网卡IP地址 2.黑客对URL的哪一个参数实施了SQL注入 3.第一个受害主机网站数据库的表前缀(加上下划线 例如abc_) 4.第一个受害主机网站数据库的名字 5.Joomla后台管理员的密码是多少 6.黑客第一次获得的php木马的密码是什么 7.黑客第二次上传php ...
分类:
其他好文 时间:
2020-02-02 12:10:20
阅读次数:
168
1. 使用dvwa靶机进行sql注入实战(注:当前靶机安全级别为low) 打开sql漏洞,发现输入不同的数字会返回不同的信息, 先尝试手工判断是否存在sql注入 一般sql注入语句像这样,我们构造的是后面两个单引号里面的内容 select * from users where userid='*' ...
分类:
数据库 时间:
2020-02-01 23:33:31
阅读次数:
114
自己也是年龄大了,才终于意识到自己以前浪费了多少时间。 不知道从什么时候养成的散漫恶习。 这段时间终于是醒悟了。要抓紧时间补回以前丢掉的。 不要怕困难,从小就知道的道理,你要懂得多,就得付出。 从头开始,学习SQL注入,挖洞,写小程序。同时继续学习网络协议(OSPF,IPv6,MPLS)。 2020 ...
分类:
其他好文 时间:
2020-02-01 11:06:03
阅读次数:
90
XSS:跨站脚本攻击XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的 常见的恶意字符XSS输入:1. XSS 输入通常包含 JavaScript 脚本,如弹出恶意警告框 攻击方式: 如在界面输入框恶意输入代码 <script>alert ...
分类:
数据库 时间:
2020-01-31 18:40:50
阅读次数:
111
mysql的基本用法: 查库:select schema_name from information_schema.schemata 等同于 show databases 查表:select table_name from information_schema.tables where table_ ...
分类:
数据库 时间:
2020-01-31 15:55:44
阅读次数:
116
最近放假在家确实无聊 看爱情公寓甚至追不上vip的进度 所以在知乎上看了下web安全入门的网课 再结合现在的项目理解了一下这些地方的应用 最基础的就是OWSAP TOP 10 也就是10种比较常见的web应用的攻击方式 首先比较低级的注入和跨站攻击这些都能从前后端进行防范 sql注入在现在的一些官方 ...
分类:
Web程序 时间:
2020-01-31 12:29:41
阅读次数:
101
一、禁用local-infile选项 | 访问控制 禁用local_infile选项会降低攻击者通过SQL注入漏洞器读取敏感文件的能力 编辑Mysql配置文件/etc/my.cnf,在[mysqld] 段落中配置local-infile参数为0,并重启mysql服务: ``` local-infil ...
分类:
数据库 时间:
2020-01-30 23:14:15
阅读次数:
365
SQL注入--布尔盲注 布尔盲注:页面只返回True和False两种类型页面。利用页面返回不同,逐个猜解数据 sql注入操作步骤1.判断是否存在注入(判断是否未严格校验)--第一要素1)可控参数的改变能否影响页面的显示结果2)输入的sql语句是否能够报错,通过数据库的报错我们可以看到数据库的一些语句 ...
分类:
数据库 时间:
2020-01-29 18:19:32
阅读次数:
95
