- 博客(2)
- 收藏
- 关注
RSS订阅原创 xss靶场haozi.me过关
过滤了html标签,使用onerror绕过(onerror不依靠标签触发)"被替换为\",所以依旧可以使用,再使用分号隔开以及利用后面的")完成输出。普通字符标签被添加‘_’,使用特殊字符‘ ſ ’,ſ 与s相同。被替换,因为正则不能匹配空格,所以添加空格。由于编码在html标签中,所以被替换的编码会被还原再执行。先输入固定网址,然后闭合,进行报错绕过。没有任何过滤,直接使用script标签。对 ` 也进行了过滤,使用编码绕过。没有过滤script标签,直接闭合。
2024-07-03 19:12:25
217
原创 SQL注入常用语句
攻击者通过在应用程序的输入点插入或“注入”恶意的SQL代码,从而绕过应用程序的安全机制,直接与数据库进行非法交互。这种攻击方式的核心在于利用程序对用户输入未进行适当验证或过滤的漏洞,使得攻击者能够执行任意的SQL命令,进而访问、修改、删除数据库中的数据。sql注入常用知识1.information_schema:表示所有信息,包括库、表、列2.information_schema.tables:记录所有表名信息的表3.information_schema.columns:记录所有列名信息的表。
2024-07-02 16:13:17
450
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人