一般有多种减轻威胁的技巧: [1] 策略:库或框架 使用不允许此弱点出现的经过审核的库或框架,或提供更容易避免此弱点的构造。 [2] 策略:参数化 如果可用,使用自动实施数据和代码之间的分离的结构化机制。这些机制也许能够自动提供相关引用、编码和验证,而不是依赖于开发者在生成输出的每一处提供此能力。 ...
分类:
数据库 时间:
2016-07-07 13:00:45
阅读次数:
219
环境:dvwa1.7数据库:mysql前置知识:1、阅读了关于sql注入基础的两个博文并自己动手实践过(一)(二)2、阅读了hackwithpython(一)一、学习web安全的过程并不总是充满快乐,有时还有点小枯燥(1)那这样我们,先来玩个小游戏吧!猜数字,看一看你能多少次猜出数字#!/usr/bin/py..
分类:
编程语言 时间:
2015-09-28 19:15:22
阅读次数:
322
写在前面:这篇文章主要写了一些加快盲注速度的技巧和盲注中比较精巧的语句,虽然注入并不是什么新技术了。但是数据库注入漏洞依然困扰着每一个安全厂商,也鞭策着每一个安全从业者不断前进。正文:首先来简单介绍一下盲注,盲注是不能通过直接显示的途径来获取数据库数据的方法。在盲注中,攻击者根据其返回页面的不同来判...
分类:
数据库 时间:
2015-01-27 01:51:40
阅读次数:
339
1 简介 1.1 普通SQL注入技术概述 目前没有对SQL注入技术的标准定义,微软中国技术中心从2个方面进行了描述[1]: (1) 脚本注入式的攻击 (2) 恶意用户输入用来影响被执行的SQL脚本 根据Chris Anley的定义[2], 当一个攻击者通过在查询语句中插入一系列的SQL语句...
分类:
数据库 时间:
2015-01-27 01:47:14
阅读次数:
303
前言
上一篇文章写了关于 WEB 安全方面的实战,主要是解决 SQL 盲注的安全漏洞。这篇文章本来是要写一篇关于如何防治 XSS 攻击的,但是想来想去,还是决定先从理论上认识一下 XSS 吧。下一篇文章,再深入研究如何防治的问题。
概念
到底什么是 XSS 攻击呢?XSS 攻击,全称是“跨站点脚本攻击”(Cross Site Scripting),之所以缩写为...
分类:
Web程序 时间:
2014-10-30 17:10:44
阅读次数:
250
前言
好长时间没有写过东西了,不是不想写,只不过是一直静不下心来写点东西。当然,拖了这么长的时间,也总该写点什么的。最近刚刚上手安全方面的东西,作为一个菜鸟,也本着学习的目的,就谈谈最近接触到的安全方面的问题吧。
背景
既然提到了背景,那我们就简单的带一下,最近互联网上爆出了各种惊人的事件、各种门、各种照的,归根结底,都是网络安全出的问题,有的是网络被别人监控...
分类:
数据库 时间:
2014-10-30 11:51:04
阅读次数:
423
转自:http://hi.baidu.com/zh2089/item/819d2373d7834728d7a89c9eHRay注:虽然注入一直在谈,不过真正算得上精通的又能有多少人,一篇盲注的文章,转载过来,方便自己,也希望对大家有帮助之前的博文已经提到过基于时间差的注入攻击,其实利用正则表达式进行...
分类:
数据库 时间:
2014-10-29 18:47:43
阅读次数:
159
转:http://hi.baidu.com/duwang1104/item/65a6603056aee780c3cf29681 简介 1.1
普通SQL注入技术概述 目前没有对SQL注入技术的标准定义,微软中国技术中心从2个方面进行了描述[1]: (1) 脚本注入式的攻击 (2) 恶意用户输...
分类:
数据库 时间:
2014-05-24 05:29:53
阅读次数:
436
