什么是pymysql模块 PyMySQL 是在 Python3.x 版本中用于连接 MySQL 服务器的一个库,Python2中则使用mysqldb。 使用pymysql模块 下载第三方模块: pip3 install pymysql SQL的注入问题 sql注入问题:利用特殊符号和注释语法 巧妙地 ...
分类:
数据库 时间:
2020-01-03 12:31:24
阅读次数:
105
什么是xss注入: xss通常就是通过巧妙的方法注入指令到指定页面,使用户加载执行的恶意的js(或者其他类型)的代码,攻击者会获取用户的一系列信息,如cookie等,从而进行其他用户信息的盗取 为什么会产生xss: 和sql注入一样,对用户输入的绝对信任,没有对用户输入做绝对的过滤 xss注入实现: ...
分类:
其他好文 时间:
2020-01-01 13:38:10
阅读次数:
94
为什么会产生sql注入: 主要原因,对用户输入的绝对信任,相信所有用户的输入都是可信的,没有对用户输入的语句进行过滤或者筛选,直接放到sql语句中进行拼接,从而导致了sql注入的产生 例如: <php? id = $_GET['id']; sql = "select * from tables wh ...
分类:
数据库 时间:
2020-01-01 11:43:55
阅读次数:
151
[TOC] 前言 这一个需要管理员权限的二次SQL注入,利用起来比较鸡肋。这里仅分享一下挖洞时的思路,不包含具体的poc。 分析 漏洞触发点在components/com_content/models/articles.php:L458 通过访问 可以到达漏洞点,但是state我们控制不了,因为首先 ...
分类:
其他好文 时间:
2019-12-31 23:21:40
阅读次数:
108
StringBuilder sbSelect = new StringBuilder(); System.Data.OracleClient.OracleParameter[] parms = { };ArrayList listParms = new ArrayList();string sqlg ...
分类:
数据库 时间:
2019-12-31 12:39:40
阅读次数:
100
注入攻击的本质,是把用户输入的数据当做代码执行。 注入的关键条件: 第一个是用户能够控制输入 第二个是原本程序要执行的代码,拼接了用户输入的数据然后进行执行 1.sql注入本质是什么 把用户输入当做代码执行 2.sql注入的条件 用户可控输入和原本程序要执行代码,拼接用户输入且当作SQL语句去执行 ...
分类:
数据库 时间:
2019-12-30 14:22:18
阅读次数:
121
sqlmap是一个自动化的sql注入工具,其主要功能是扫描、发现并利用给定URL的SQL注入漏洞,内置了很多绕过插件,支持的数据库有MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, F ...
分类:
数据库 时间:
2019-12-30 13:01:44
阅读次数:
118
SQL注入漏洞,主要是开发人员在构建代码时,没有对输入边界进行安全考虑, 导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄漏的一种漏洞。 SQL注入攻击流程 第一步:注入点探测 自动方式:使用web漏洞扫描工具,自动进行注入点发现 手动方式:手工 ...
分类:
数据库 时间:
2019-12-28 22:40:53
阅读次数:
114
一、网站有哪些安全问题 1、网站程序问题 网站程序是个大问题,假如程序挑选的不对,被侵略的时机非常大。许多网站都是下载一些免费开源的源码来做网站的,此类型网站有2种情况。 下载一个毫无闻名度的免费源码,此类的免费源码被侵略的可能性超越百分之99,由于免费,使用者少,开发者更不会去完善缝隙,更不会去晋 ...
分类:
Web程序 时间:
2019-12-25 23:50:03
阅读次数:
123
常见安全问题 跨站脚本攻击XSS 跨站请求伪造攻击CSRF 前端Cookies安全性 点击劫持攻击 传输过程安全问题 用户密码安全问题 SQL注入攻击 XSS(Cross Site Scripting)跨站脚本攻击介绍 什么是XSS web攻击的一种,通过对网页注入可执行代码(html代码或JS代码 ...
分类:
其他好文 时间:
2019-12-25 20:25:51
阅读次数:
85
