SQL 盲注介绍: 盲注,与一般注入的区别在于,一般的注入攻击者可以直接从页面上看到注入语句的执行结果,而盲注时攻击者通常是无法从显示页面上获取执行结果,甚至连注入语句是否执行都无从得知,因此盲注的难度要比一般注入高。盲注分为三类:基于布尔SQL盲注、基于时间的SQL盲注、基于报错的SQL盲注。 盲 ...
分类:
数据库 时间:
2020-03-10 14:20:01
阅读次数:
66
SQL Injection: SQL Injection,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。SQL注入漏洞的危害是巨大的,常常会导致整个 数据库被“脱裤”,尽管如此,SQL注入仍是现在最常见的Web漏洞之一。近期很火的大使馆 ...
分类:
数据库 时间:
2020-03-09 13:27:29
阅读次数:
82
Command Injection : 命令注入(Command Injection),对一些函数的参数没有做好过滤而导致用户可以控制输入的参数,使其恶意执行系统命令或这cmd、bash指令的一种注入攻击手段。php命令注入攻击漏洞是一种php应用程序常见的脚本漏洞。 流程: 1.判断是否可调用系统 ...
分类:
其他好文 时间:
2020-03-09 01:27:25
阅读次数:
89
一、安装phpstudy 二、安装DVWA 将解压后的压缩包放在\phpStudy\WWW 文件夹下 进入到phpStudy\WWW\DVWA-master\config路径下,将里面的文件复制出一个,重命名为 进入此文件中,将密码改为root,保存 三、登陆DVWA 在浏览器中输入网址http:/ ...
分类:
其他好文 时间:
2020-03-08 17:50:38
阅读次数:
131
DVWA文件上传 文件上传是Web是常见的服务 Low: 源代码: basename(path,suffix)函数返回路径中的文件名部分,如果可选参数suffix为空,则返回的文件名包含后缀名,反之不包含后缀名。可以看到,服务器对上传文件的类型、内容没有做任何的检查、过滤,存在明显的文件上传漏洞,生 ...
分类:
Web程序 时间:
2020-03-06 23:50:36
阅读次数:
174
1、安装PHP集成环境 为了省事,直接找一个PHP的集成环境,这也是第一步 之前一直用的appserv,后来一直在用phpstudy(其实appserv、phpstudy、xampp、wampserver感觉都差不多) 首先要看PHP的版本 因为要去对应的目录下修改他的配置文件 因为我一开始安装dv ...
分类:
其他好文 时间:
2020-03-04 23:31:08
阅读次数:
89
CSRF简介: CSRF(跨站请求伪造),全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务 ...
分类:
其他好文 时间:
2020-03-04 17:30:13
阅读次数:
79
命令注入攻击的常见模式为:仅仅需要输入数据的场合,却伴随着数据同时输入了恶意代码, 而装载数据的系统对此并未设计良好的过滤过程,导致恶意代码也一并执行,最终导致信息泄露或者正常数据的破坏。 PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一,国内著名的Web应用程序Discuz!、DedeC ...
分类:
其他好文 时间:
2020-03-03 16:26:51
阅读次数:
281
0x01 XSS介绍 XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意 ...
分类:
其他好文 时间:
2020-02-29 18:53:44
阅读次数:
103
CSRF(Cross-site request forgery) CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的 ...
分类:
其他好文 时间:
2020-02-16 22:17:07
阅读次数:
89