1、数字型SQL注入 /opt/waf/owasp-modsecurity-crs/rules/REQUEST-942-APPLICATION-ATTACK-SQLI.conf"] [line "17"] [id "942100"] 被LibInjection Check 2、字符型SQL注入 同上 ...
分类:
数据库 时间:
2018-04-18 20:14:12
阅读次数:
2007
一Kali视频学习 1.bbqsql 2.HexorBase 3.Jsql 4.Oscanner 5.SIDGusser 6.Sqlsus 7.burpsuits 8.owasp zap 9.webscarab 10.fuzzing工具集 二《网络攻防》学习总结 Web安全攻防技术与实现 web应用 ...
分类:
其他好文 时间:
2018-04-09 00:17:43
阅读次数:
246
kali漏洞分析之数据库评估(一)(二) web层与数据库连接的漏洞在安全测试中并不少见,owasp曾经的top之首sql注入漏洞。 数据库评估软件 1.bbqsql 是一个pyth编写的盲注工具,当检测可疑的注入漏洞时会很有用。同时bbqsql是一个半自动工具,允许客户自定义参数。 2.dbpwa ...
分类:
其他好文 时间:
2018-04-08 00:18:29
阅读次数:
241
①注入将不受信息的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入、NoSQL注入、OS注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的清空下执行非预期命令或访问数据。②失效的身份认证通过错误使用应用程序的身份认证和会话管理功能,攻击者能破译密码、密钥或会话令牌,或者利用其他开发缺陷来暂时性或永久性冒充其他用户的身份。③敏感数据泄露许多Web应用程序和AP
分类:
Web程序 时间:
2018-04-07 19:01:14
阅读次数:
229
OWASPJuiceShopv6.4.1部分题目答案(二)上一篇链接:http://blog.51cto.com/10506646/2067233ConfidentialDocument通过抓包可以分析出网站有一个名为ftp的目录,进入全部访问一遍即可完成RedirectsTier1通过分析付款界面的源代码可以发现一串隐藏的代码,复制链接,打开即可完成ChristmasSpecial找到一个“特别
分类:
Web程序 时间:
2018-02-02 20:13:27
阅读次数:
252
OWASPJuiceShopv6.4.1部分题目答案OWASPJuiceShop是一个专门用于安全技能训练的靶场环境安装完成后的界面:ScoreBoard这题的意思是找到一个隐藏的计分界面,通过查看网页源代码可查出之后打开页面即可AdminSection&ErrorHandling访问商店管理部分。这个网站一用工具爆破就会崩溃,所以这里采用手工,在试了admin和administrator
分类:
Web程序 时间:
2018-01-31 15:36:49
阅读次数:
250
作者:__LSA__ 0x00 概述 渗透的时候总会首先测试注入,sql注入可以说是web漏洞界的Boss了,稳居owasp第一位,普通的直接回显数据的注入现在几乎绝迹了,绝大多数都是盲注了,此文是盲注系列的第一篇,介绍盲注中的报错注入。 0×01 报错注入原理 其实报错注入有很多种,本文主要介绍几 ...
分类:
数据库 时间:
2017-12-29 16:55:37
阅读次数:
210
2017版OWASP top 10 将API安全纳入其中,足以说明API被广泛使用且安全问题严重。自己尝试整理一下,但限于本人搬砖经验还不足、水平有限,本文只能算是抛砖引玉,希望大伙不吝赐教。 了解Web Service(API) 主流Web Service实现方式 SOAP/XML REST/JS ...
本文作者:S0u1 0×00 简介 OWASP JUICE SHOP是一个开源的web应用靶场,里面包含了共记47个漏洞挑战任务,囊括了OWASP TOP 10的各个点,是一个很不错的渗透测试练手项目。 0×01 环境搭建 我使用的测试环境为kali2+docker。 搭建过程如下: 1.安装doc ...
分类:
Web程序 时间:
2017-11-03 15:17:40
阅读次数:
276
