台湾漏洞库
文章平均质量分 51
黑客笔记
cissp网络安全专家(家住知乎)
展开
-
台中某中学辅导预约系统 SQLi注入
相关单位:台中某中学漏洞状态:已经修复提交日期:2020-12-26公开日期:2021-01-03漏洞说明[1]防御方法[2]注入过程:学号 ' or ''=' 危害:可以直接登录后台原理:学号 ' 是条件1 '=' 是条件2 or 连接 两个条件因为条件2是100%成立,所以or条件表达式100%成立推理:从作者提交的截图上可以看到提交的学号是一个6位数字身份证后四位(可以随便填写)然后就成功的...原创 2021-01-03 16:22:17 · 56 阅读 · 0 评论 -
反射型XSS案例
如果真的对网络安全感兴趣,还是可以选择Web安全入门的,毕竟这是最愉快的了~虽然我也不是很懂前端JS但是这XSS载荷真的很有效XSS玩的好的,一般都是前端JS懂王~<svg onload=alert(1)> 更多XSS有效载荷见github[1],还不赶紧收藏~不要在大厂里面试了,我都帮你试过了~淘宝直接阻拦了请求~京东直接过滤了语义~只有一些小破站,才能找到这样的漏洞案例~反射型XS...原创 2021-01-03 22:08:56 · 213 阅读 · 0 评论 -
民国某协会SQL注入
相关单位:民国某协会提交日期:2020-11-24公开日期:2021-01-04首发网址:台湾zeroday[1] 根据 zeroday 作者的叙述首先,在网址后面添加 - ,然后请求报错了奇妙的知识又增加了于是作者推断,存在SQL注入漏洞接下来,作者使用kali自带的sqlmap工具,进行扫描发现了存在名为 wwwgst 的数据库通过 -D wwwgst --tables 得到了130个数据库表...原创 2021-01-04 21:20:38 · 118 阅读 · 0 评论