数据库基本操作 mysql h ip地址 P 端口 u 用户名 p (回车输入密码) //连接数据库 show databases; //查看所有的数据库 create database ; // 创建数据库 drop database ; //删除数据库 use ; //选择进入数据库 show ...
分类:
数据库 时间:
2020-01-28 22:56:02
阅读次数:
59
sql注入操作步骤1.判断是否存在注入(判断是否未严格校验)--第一要素1)可控参数的改变能否影响页面的显示结果2)输入的sql语句是否能够报错,通过数据库的报错我们可以看到数据库的一些语句痕迹3)输入的sql语句能否不报错,语句能成功闭合2.判断什么类型的注入3.语句能否被恶意修改 -- 第二个要 ...
分类:
数据库 时间:
2020-01-28 19:29:56
阅读次数:
329
www.myzoo.com 输入示例 Login a'# 用户a登录 a' or 1# a' or 1=1# a' and 1;# d' or 1# a' or '1 思考:为什么无密码可以登录?为什么最终登录的都是a? b' or 0;# 用户b登录 profile a', Coins=100 w ...
分类:
数据库 时间:
2020-01-27 15:31:19
阅读次数:
168
Less-29 可以从介绍上看出,第29关被称为世界上最好的WAF,网上许多讲解的办法就是和第一关差不多,其实是不对的。 sqli-labs文件夹下面还有tomcat文件,这才是真正的less,里面的jspstudy需要搭建环境jspstudy:https://www.xp.cn/download. ...
分类:
数据库 时间:
2020-01-27 15:19:00
阅读次数:
153
PHP代码审计SQL注入漏洞 0x00 首先明确什么是SQL注入,SQL语句必须掌握。 常见的注入总的来说可以分为两大类:数字型和字符型。 这两类中包含了诸如报错注入,宽字节注入,盲注,二次注入,cookie注入,POST注入等等。 因为我大一已经花了大量时间来研究sql注入,这里就不细写了,有兴趣 ...
分类:
其他好文 时间:
2020-01-27 12:38:03
阅读次数:
78
less-25 前置基础知识:后面的关卡涉及到WAF绕过: 主要有三种方式:白盒绕过、黑盒绕过、fuzz测试 网上sql注入WAF绕过的教程有很多,可以自己查询,总之就是比谁思路猥琐 根据第25关下面的提示和代码,我们发现他对or和and(不区分大小写)转义成了空格 第一种办法: 采用双写的方式 这 ...
分类:
数据库 时间:
2020-01-25 23:33:19
阅读次数:
100
这里因为实验的时候只记录了一部分所以就展示一部分 1.1.1数字型注入 (1)看到界面发现是查询id功能,没有在url里看到有传参所以应该是post方法提交数据。 (2)进行sql注入之前我们最好是先想像一下这个功能提交的参数到了后台之后后台是怎样的操作的,对于当前的页面我猜测后台是这样操作 现接受 ...
分类:
数据库 时间:
2020-01-23 22:35:56
阅读次数:
302
简介 "官网链接" JOOQ是一套持久层框架,主要特点是: 逆向工程,自动根据数据库结构生成对应的类 流式的API,像写SQL一样 提供类型安全的SQL查询,JOOQ的主要优势,可以帮助我们在写SQL时就做检查 支持几乎所有DDL,DML 可以内部避免SQL注入安全问题 支持SQL渲染,打印,绑定 ...
分类:
编程语言 时间:
2020-01-21 16:30:47
阅读次数:
71
1、什么是注入攻击 使用了用户输入的但是我们没有校验过的数据,来拼装一个可以行的指令,交给系统去执行,结果导致执行了我们不希望发生的命令。注入攻击用很多种,最常见的是SQL注入。 2、SQL注入攻击 Java程序员知道,使用Statement进行查询时会造成SQL注入攻击,从而使用PreparedS ...
分类:
数据库 时间:
2020-01-21 00:45:13
阅读次数:
157
网络安全 前端不需要过硬的网络安全方面的知识,但是能够了解大多数的网络安全,并且可以进行简单的防御前两三个是需要的 介绍一下常见的安全问题,解决方式,和小的Demo,希望大家喜欢 网络安全汇总 XSS CSRF 点击劫持 SQL注入 OS注入 请求劫持 DDOS 在我看来,前端可以了解并且防御前4个 ...
分类:
其他好文 时间:
2020-01-20 09:59:29
阅读次数:
419
