- 博客(3)
- 收藏
- 关注
RSS订阅原创 命令注入与代码执行详解
例如,被过滤的命令是 cat,可在终端执行 echo 'cat' | base64 得到编码后的字符串 Y2F0Cg== ,然后执行 echo 'Y2F0Cg==' | base64 -d | command ,其中 command 为要执行的具体命令,如查看文件 test.txt 的内容,即 echo 'Y2F0Cg==' | base64 -d | test.txt。$@ 表示所有参数。需要注意的是,命令注入绕过的具体方法会受到目标系统的环境、应用程序的实现以及所施加的安全限制等多种因素的影响。
2024-07-03 22:46:04
1279
1
原创 xss相关知识详解
2. 利用过滤后返回语句再次构成攻击语句:当网站设置了某些过滤规则时,可以尝试构造输入,使其在经过过滤后生成的返回语句能再次构成有效的攻击语句。例如,输入的字符串被放入到<input value="这样的标签中,那么可以尝试输入'/>来闭合标签,然后执行后续的脚本。XSS,即跨站脚本攻击(Cross Site Scripting),是一种常见的网络应用安全漏洞,允许攻击者将恶意脚本注入到网页中,这些脚本随后会被受害者的浏览器执行。相反,应该使用参数化的方法,如使用预编译语句或模板引擎,以避免注入攻击。
2024-07-03 21:11:06
521
原创 sql注入攻击思路和防御措施
4. 收集数据库信息:通过构造特定的注入语句来获取数据库的版本、表名、列名等信息。SQL 注入(SQL Injection)是一种常见的网络攻击手段,它利用应用程序中对用户输入数据的处理不当,将恶意的 SQL 代码插入到原本正常的 SQL 语句中,从而实现对数据库的非法操作。1. 输入验证和清理:对用户输入的数据进行严格的验证和清理,只允许合法的数据格式和字符范围。4. 存储过程:将复杂的数据库操作封装在存储过程中,并限制对存储过程的直接访问,而不是直接在应用程序中编写复杂的 SQL 语句。
2024-07-02 23:26:10
416
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人