GetorPost-CSDN博客

原创网络安全从零开始（盲注）

首先需要明确一个概念：注入的本质以及注入的条件。1.注入攻击的本质就是将用户输入的数据当做代码执行。2.注入的先决条件：用户可以控制输入原本程序要执行的代码拼接上用户输入的数据然后执行

2022-01-10 11:02:37 3133 1

一、POST注入首先要明确注入攻击的本质是：将用户输入的数据当做代码来执行。前提条件用户能够控制输入原本程序要执行的代码拼接上用户输入的数据然后执行传参类型：传参一般有两种，一种是post另一种就是get post注入就是使用post进行传参。本质上来说与get没有区别。高危注入点登录框、查询框等各种与数据库进行交互的框万能密码 'or 1=1# 万能密码登录的是默认用户，一般是第一个用户，第一个用户一般都是管理员用户如何利用sqlmap跑post传参

2021-07-14 12:37:14 758

原创网络安全从零开始（SQL注入原理）

一、SQL注入的本质1.SQL注入的本质：就是将用户输入的数据当做代码来执行。2.关键条件：用户可以控制输入将原本程序要执行的代码，拼接上用户输入的数据然后执行3.什么是SQL注入：就是针对SQL语句的注入，也可以理解为用户输入的数据当做SQL语句的代码执行4.判断是否存在注入点 select * from xxx where id=1 and 1=1 输出 select * from xxx where id=1 and 1=2 输出如果满足上述语句，拼接and语句正常输出，则

2021-06-30 11:30:33 293

原创网络安全从零开始（信息收集）

一、信息收集的重要性信息收集的作用最了解你的人，往往都是你的对手。知己知彼，百战百胜。当你所掌握到的信息比别人多且更详细的时候那么你就占据了先机，这一条不仅仅用于商业、战争，在渗透测试中也适用。二、信息收集方向（信息收集究竟收集什么）1.whois信息什么是whois？ Whois指的是域名注册时留下的信息，比如留下管理员的姓名、电话号码、邮箱为什么要收集whois？域名注册人可能就是网站管理员，可以尝试社工、套路，查询是不是注册了其他域名扩大攻击范围whois是用来查询域名

2021-04-30 11:08:21 377

原创网络安全从零开始（后端基础PHP 正则表达式）

一、初识SQL注入SQL注入是1998年一名叫做rfp的黑客发表的一篇文章所进入大众视线的什么是注入：注入攻击的本质，是把用户输入的数据当做代码执行这里有两个关键条件：第一个是用户能够控制输入第二个是原本程序要执行的代码，拼接了用户输入的数据然后进行执行什么是SQL注入：就是针对SQL语句的注入，也可以理解为用户输入的数据当做SQL语句的代码执行了。二、什么是正则表达式正则表达式，又称规则表达式。（英语：Regular Expression，在代码中常简写为regex、r

2021-04-26 12:21:13 230 1

原创网络安全从零开始（后端基础PHP表单验证）

一、什么是表单表单在网页中主要负责数据采集功能个表单有三个基本组成部分表单标签：这里面包含了处理表单数据所用动态脚本的URL以及数据提交到服务器的方法<form> 表单域：包含了文本框、密码框、隐藏框、多行文本框、复选框、单选框、下拉选择框和文本上传框等。<input> 表单按钮：包含提交按钮、复位按钮和一般按钮，用于将数据传送到服务器上的动态脚本或者取消输入，还可以用表单按钮来控制其他定义了处理脚本的工作。使用场景：<input submit> 登

2021-04-22 12:08:25 247 1

原创网络安全从零开始（后端基础PHP简介及基本函数）

一、什么是PHPPHP（超文本预处理器）是一种通用开源脚本语言。（是动态语言的一种，动态语言还有ASP,ASPX,JSP）PHP语法吸收了C语言，JAVA语言和perl的特点，主要适用于WEB开发领域PHP是将程序嵌入到HTML文档中去执行前端代码PHP还可以执行编译后代码，编译可以达到加密和优化代码运行，使代码运行更快PHP支持几乎所有流行的数据库以及操作系统使用场景：网站需要动态操作的，如注册、登陆、查询网站需要生成静态文件确保安全的需要快速看见效果的项目部分游戏服务器（sw

2021-04-19 13:05:21 267

原创网络安全从零开始（后端基础SQL高级查询与子查询）

Mysql的基础查询语句order by 排序知道字段的情况下可以用字段，不知道字段可以用数字select*from 表 order by 字段【ASC（默认）/DESC】升序（从小到大）ASC、降序（从大到小）DESClimit n,m 分页select*from 表 limit n,m;N表示从第几行开始，m表示取几条select*from 表 where username like‘%%’ 模糊查询联合查询表的内容无重复 select*from 表 1union selec

2021-04-18 20:37:58 163

原创网络安全从零开始（后端基础SQL及数据库简介）

什么是数据库数据库就是将大量数据保存起来，通过计算机加工而成的可以高效的访问的数据集合，数据库是长期存储在计算机内，有组织的，可共享的数据集合。常见的数据库 Oracle Database 甲骨文公司 SQL Server 微软公司 DB2 IMB公司 PostgreSQL、MySQL 开源数据库 Access 微软公司【古董】正常渗透测试会遇到Oracle Database、SQL Server

2021-04-15 15:46:59 508

原创网络安全从零开始（web安全前端基础）

一、web前端的基本构成web前端由html 、css 、js组成。HTML超文本标记语言，是一种用于创建网页的标准标记语言CSS层叠样式表，能对网页中元素位置的排版进行像素级精准控制拥有对网页对象和模型样式编辑的能力JS浏览器可以执行的脚本语言，功能非常强大在web前端中三个组成部分分别对网页进行修饰HTML ：是前端页面的骨架CSS：是前端页面的化妆师JS：丰富网页功能的脚本二、HTML基础HTML框架中标签大多数是成对出现的，只有极少部分是单独出现的，在前端的书写

2021-01-12 10:52:19 2396 2

原创网络安全从零开始（基础知识）

一、web服务器通信原理基本知识介绍 1.常见的服务器系统 Windows、macOS、Linux 服务器=> 一台24h不关机的电脑 2.绝对路径与相对路径绝对路径：真实存在的路劲。相对路径：有参照物的路径打个比方：当你在外面住酒店的时候，你去订个外卖，你在上面填写的地址就相当于绝对路径。而外卖员给你打电话确认大致地址，你描述酒店在一座写字楼旁边相当于相对路径，拥有参照物。在Windows系统中出现盘符字样就是绝对路径 Linux系统中"/”是绝对路

2021-01-12 10:16:54 14967 4

GetorPost的博客