一,照例先分享心情
感觉终于学到有点意思的地方了,感觉不错,就是很多不懂,回到刚开始接触C语言的时候了
,不过并不是那种无力感。整体可以接受。
二,想分享的一些东西
sql注入
查询条件where 中有 多个and 和多个or 要把or条件用括号括起
(select F_serial,F_sub_time,F_hospital_code,F_user_name,F_report_doc,
F_report_time,'10',F_CAP_5_3, F_dcg_date_int, Datekey,P.FCYTYKH ,P.FPRN
from HMI_DB.[dbo].[T_SD_CAP] T,HMI_DB.dbo.TPATIENTVISIT P
where (F_CAP_3_1=1 or F_CAP_3_2=1)and T.[F_hspd_num]=p.FPRN
and SUBSTRING(CONVERT(varchar, T.F_dcg_date_int,120),0,11)=SUBSTRING(convert(varchar,p.FCYDATE,120),0,11) )
xss
xss挖掘思路
第一层:
搜集输入、输出点,输入、输出的点越多,能挖到xss漏洞的概率越大
第二层:
就是深入到各个点,进行各个击破
文件上传
文件上传漏洞出现的地点:
1 有文件上传的功能(正常上传文件如图片)
2 上传到的目录,能够解析脚本语言,如果不能解析,只能绕过
3 以上最后,还要能够访问到上传的文件。-----------有以上3步,就有可能有文件上传的漏洞。
三,总结
希望能搞明白,之后能熟练操作吧。