1、Nikto2简介:Nikto2
是一款使用perl语言写的多平台扫描软件,是一款命令行模式的工具,它可以扫描指定主机的WEB类型主机名、特定目录、Cookie、特定CGI漏洞、XSS漏洞、sql注入漏洞、返回主机允许的http方法等安全问题。位置:/pentest/web/nikto
用法 1....
分类:
Web程序 时间:
2014-05-26 04:41:42
阅读次数:
235
/**/跟空格的作用一样,有的时候可以过一些过滤爆库语句,修改红色部分的数字挨个猜出库/**/and/**/(select/**/top/**/1/**/isnull(cast([name]/**/as/**/nvarchar(500)),char(32))%2bchar(124)/**/from/...
分类:
数据库 时间:
2014-05-08 19:02:39
阅读次数:
336
最近,师弟们维护的教务系统出了点问题,存在sql注入漏洞,老板让我给他们看看,于是乎在网上查找了一番,又看了看项目的代码,项目使用的是statement,决定换成preparedStatement.Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行Prep..
分类:
数据库 时间:
2014-05-08 16:29:07
阅读次数:
375
这里公布一个关于aspx网站程序的oday方法很简单。直接爆出管理密码。也是利用注入漏洞。利用代码谷歌搜索关键字:inurl:scoreindex.aspxcart.aspx?act=buy&id=1
and (SelectTop1char(124)%2BisNull(cast([Name] as ...
分类:
其他好文 时间:
2014-05-07 13:10:40
阅读次数:
606
一.SQL注入漏洞SQL注入漏洞的危害不仅体现在数据库层面,还有可能危及承载数据库的操作系统;如果SQL注入被用来挂马,还可能用来传播恶意软件等,这些危害包括但不限于:1、数据库信息泄漏:数据库中存储的用户隐私信息泄露。2、网页篡改:通过操作数据库对特定网页进行篡改。3..
分类:
Web程序 时间:
2014-05-04 17:12:00
阅读次数:
1453
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如
果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情
况进行分析,构.....
分类:
Web程序 时间:
2014-04-29 11:12:46
阅读次数:
500
什么是SQLmap?SQLmap是一款用来检测与利用SQL注入漏洞的免费开源工具,有一个非常棒的特性,即对检测与利用的自动化处理(数据库指纹、访问底层文件系统、执行命令)。读者可以通过位于SourceForge的官方网站下载SQLmap源码:http://sourceforge.net/projec...
分类:
数据库 时间:
2014-04-28 06:11:38
阅读次数:
1083