- 博客(5)
- 收藏
- 关注
原创 SQL注入的基本语句操作
SQL注入(Structured Query Language Injection)是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询,从而进一步得到相应的数据信息。SQL注入的成因开发人员在开发过程中,直接将URL中的参数、HTTP Body中的Post参数或其他外来的用户输入(如Cookies,UserAgent等)与SQL语句进
2020-10-14 17:07:30 404
原创 HCTF-2018-Web-warmup WriteUp
题目环境在CTFhub上,在下方链接搜索warmup即可。https://www.ctfhub.com/#/challenge打开环境,只发现了一张滑稽图。如下我们看一眼源码,并没有发现什么有用的信息,但是这一行有点问题。我们尝试访问一下这个东西,然后发现这是一道代码审计题。http://challenge-73ef6a42b59996b3.sandbox.ctfhub.com:10080/?file=source.php<?php highlight_file(__FIL
2020-06-04 19:00:19 612
原创 文件上传漏洞详解
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力。这种攻击方式是最为直接和有效的。上传的文件可以是木马,病毒,恶意脚本等等。“文件上传”本身并没有任何问题,但是文件上传后,服务器怎么处理、解释文件就成了一个问题。如果服务器的处理逻辑做得不够安全,则会导致严重的后果。常见的文件上传之后容易导致的安全问题:上传的是Web脚本语言,服务器的Web容器解释...
2020-03-27 22:32:13 1488
原创 用Burp suite进行密码爆破
用Burp suite进行密码爆破接触了一段时间的Web学习,Burp suite还是用的挺多的。在这里主要分享一下Bugku中的一道题的实战演练。题目链接:http://123.206.87.240:8002/webshell/分析网页不得不说,这个网页做的挺有意思的。常规操作,先按F12查看源码,发现没有什么有用的信息。然后看网页文字显示,有漏洞,那就用御剑工具进行后台扫描。...
2020-02-29 22:53:50 1724 2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人