一、SQL注入漏洞的判断
一般来说,SQL注入一般存在于形如:HTTP://xxx.xxx.xxx/abc.asp?id=XX等带有参数的ASP动态网页中,有时一个动态网页中可能只有一个参数,有时可能有N个参数,有时是整型参数,有时是字符串型参数,不能一概而论。总之只要是带有参数的动态网页且此网页访问了数据库,那么就有可能存在SQL注入。如果ASP程序员没有安全意识,不进行必要的字符过滤,存在SQL注入的可能性就非常大。...
分类:
数据库 时间:
2014-08-03 15:21:56
阅读次数:
383
基于时间的盲注(time-basedblind) 测试应用是否存在SQL注入漏洞时,经常发现某一潜在的漏洞难以确认。这可能源于多种原因,但主要是因为Web应用未显示任何错误,因而无法检索任何数据。 对于这种情况,要想识别漏洞,向数据库注入时间延迟并检查服务器响应是否也已经延迟会很有帮助。时间延迟.....
分类:
数据库 时间:
2014-07-27 22:34:29
阅读次数:
405
说明:Nikto2 是一款使用perl 语言写的多平台扫描软件,是一款 命令行模式的工具,它可以扫描指定主机的web类型、主机名、特定目录、cookie、特定cgi 漏洞、xss漏洞、sql注入漏洞、返回主机允许的http 方法等安全问题。Nikto 是一款非常著名的web评估工具,几乎到了无人不知...
分类:
其他好文 时间:
2014-07-23 16:20:31
阅读次数:
364
Discuz!7.2faq.php文件SQL注入漏洞分析及利用实战[antian365.com]simeon最近网上公开了Discuz!7.2版本faq.php文件SQL注入0day,通过对文件漏洞分析以及实战测试,效果不错,公开利用exp的利用需要对SQL语句以及数据库等相当了解,在某些情况下需要多种技术配合才能最终攻克目标..
分类:
数据库 时间:
2014-07-19 02:14:15
阅读次数:
402
Discuz树大招风已成常态,不过对于其他整站程序何尝不是如此?是否曾记得大明湖畔的PHPCMS和DEDCMS万人破的场景,流行整站程序最重要的还是漏洞的快速响应。0x01 漏洞成因: 在《高级PHP应用程序漏洞审核技术》一文里的"魔术引号带来的新的安全问题"一节里,有提到通过提取魔术引号产生...
分类:
数据库 时间:
2014-07-16 18:31:12
阅读次数:
317
测试方法:提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!Discuz 7.2 /faq.php SQL注入漏洞http://www.xxx.com/faq.php?action=grouppermission&gids[99]='&gids[100][0]=) and (sele...
分类:
数据库 时间:
2014-07-07 11:53:26
阅读次数:
232
6.2号(可能更早)看到网上这个exp,是一个discuz 7.2的sql注射漏洞
经过多番考证,网上多数exp中都存在这些或者那些的问题,我自己利用和修改后总结,利用方法如下:
Discuz 7.2 /faq.php SQL注入漏洞
1.获取数据库版本信息
faq.php?action=grouppermission&gids[99]='&gids[100][0]=) and ...
分类:
数据库 时间:
2014-07-06 08:13:29
阅读次数:
394
前言
随着WEB开发的发展如日中天,越来越多的程序猿加入这个行列,尤其是在大型项目团队开发的过程中,程序员们的水平参差不齐。导致各种各样的安全验证不严密导致各种问题。正如那句话所说,水桶能装水的多少不取决于最高的挡板,而是最低的挡板。
那今天我就给大家演示一下常见的安全问题SQL的形成原因和预防。
环境准备
我本来打算用java做实验的,考虑到PHP的话比较快,就用PH...
分类:
数据库 时间:
2014-06-18 12:08:38
阅读次数:
250
太戏剧了,昨晚看了佳片有约,还不错,2012版的《完美回忆》,像我这种人依然选择用电视或者去影院看电影,在没有中间插播广告的时候,体验憋尿得过程中,总是能突然有很多的想法,这是用电脑或者手机看电影所体会不到的。看完以后已经12点半了,突然想再看一遍《黑客帝国》,这下不用电脑不行了,因为电视上没得播...结果正在缓冲的时候,突然看到了旁边的小公告:“OpenSSL再爆严重安全漏洞--CCS注入”,完...
分类:
其他好文 时间:
2014-06-11 06:31:13
阅读次数:
365
太戏剧了,昨晚看了佳片有约,还不错,2012版的《完美回忆》,像我这种人依然选择用电视或者去影院看电影,在没有中间插播广告的时候,体验憋尿得过程
中,总是能突然有很多的想法,这是用电脑或者手机看电影所体会不到的。看完以后已经12点半了,突然想再看一遍《黑客帝国》,..
分类:
其他好文 时间:
2014-06-10 23:19:28
阅读次数:
291
