SQL注入与简单的XSS

最新推荐文章于 2024-04-24 15:32:10 发布
最新推荐文章于 2024-04-24 15:32:10 发布
阅读量1.7k 收藏 28
点赞数 3
分类专栏: 网络安全学习 文章标签: SQL XSS 渗透 木马
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/captainyuxiaoyu/article/details/88877813
版权

SQL注入的基本套路

本博客仅用于学习,只是一份网络安全的入门学习笔记

1)测试交互方法,判断浏览器提交数据和web服务器的交互方式
+get提交
提交的数据在url中显示
+post提交(表单提交)
没有在url中显示
2)判断提交变量的数据类型
+整形(int类型)
id = 1 and 1=2 //让提交数据为false(假)
有交互显示则为整型(即输入后与加and之前显示的不一样)
+字符型
id = 1 and 1=2
无交互显示,则进一步判断闭合方式
常见的闭合方法‘’,“”,(),(‘’),(“”)等
3)构造闭合(整型不需要) --+ 或者 #
4)在闭合中构造sql语句并判断数据库表的行数
确定显示位
union all select 1,2,3
5)在有显示的行输入需要回显的sql语句
爆数据库名
database()
表名
group_concat(table_name) from information_schema.tables where table_schema=‘your database’
列名:
group_concat(column_name) from information_schema.columns where table_name=‘your table’ and table_schema=‘your database’
具体信息:
group_concat(your column) from your table

简单SQL注入的类型

一、普通的get提交,有显示位的(可以通过与显示位的交互获取信息的)
1)判断web的交互方式=>get|post
2)判断提交数据的字符类型=>string|int
3)构造闭合语句(string类型)
4)判断显示位=>union all select 1,2,3···找到正确的列数
5)使用SQL进行交互,找到想要的信息=>SQL语句

二、报错类型的SQL注入
界面只显示是否成功而没有显示位,能够与服务器进行交互的只有报错信息
1)判断web的交互方式
2)判断提交数据的字符类型&&构造闭合语句=>通过是否报错或成功以判断
3)使用SQL进行交互,找到想要的信息:通过SQL报错语句找到可以交互的位置将想要的信息调出来
数据库名称:
AND(SELECT 1 FROM (SELECT COUNT(*),CONCAT((SELECT(SELECT CONCAT(CAST(DATABASE() AS CHAR),0x7e)) FROM INFORMAT

最低0.47元/天 解锁文章
captainyuxiaoyu
关注
  • 3
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
WEB安全之XSS漏洞与SQL注入漏洞介绍及解决方案
m0_74131821的博客
04-18 1759
这篇文章把XSS跨站攻击和SQL注入的相关知识整理了下,比较适合初学者观看。
XSS注入的原理与实现
LJH1999ZN的博客
02-17 4423
一、JavaScript的常用脚本 1.window.location.href 用来跳转页面 eg:<script>window.location.href='www.jd.com'</script> 2.document.cookie 获取客户端的cookie值 3.script 可以通过“src”属性引入JavaScript文件 二、什么是同源策略 同源策略在web应用的安全模型中是一个重要概念。在这个策略下,web浏览器允许第一个页面的脚本访问第...
【白帽子学习笔记】XSSSQL注入
python_LC_nohtyp的博客
11-17 1546
【白帽子学习笔记】XSSSQL注入 yysy姚总布置的实验报告越来越难写了,菜菜的我要写好久,┭┮﹏┭┮ 文章目录【白帽子学习笔记】XSSSQL注入0x01 实验知识点1x01 什么是XSS?1x02 什么是Cookie?1x03 XSS漏洞的分类1x04 SQL注入攻击0x02 XSS部分:Beef1x01 搭建GuestBook网站1x02 AWVS扫描1x03 Kail中使用Beef生成恶意代码1x04 XSS注入漏洞2x01 XSS劫持网站2x02 劫持浏览器指定被劫持网站为学校主
【网络安全】XSS漏洞注入,分类,防御方法
最新发布
weixin_57514792的博客
04-24 1096
XSS漏洞注入,分类,防御方法
【web应用安全攻防技术】02 SQL注入 & XSS注入
m0_57432233的博客
01-31 1849
SQL注入攻击是利用Web应用程序数据层存在的输入验证不完善型安全漏洞实施的一类代码注入攻击技术跨站脚本是一种通常存在于Web应用程序中的安全漏洞,使得攻击者可以将恶意的代码注入到网页中,从而危害其他Web访问者(敏感信息、客户端渗透攻击等)客户端脚本:Javascript,Flash ActionScript等。
XSSSQL简单介绍
qq_53188113的博客
12-23 909
XSS 1、什么是XSS XSS又叫CSS (Cross Site Script) 也称为跨站,它是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。 2、什么是XSS攻击 XSS攻击是指入侵者在远程WEB页面的HTML代码中插入具有恶意目的的数据,用户认为该页面是可信赖的,但是当浏览器下载该页面,嵌入其中的脚本将被解释执行,由于HTML语言允许使用脚本进行简单交互,入..
常见sql注入语句和xss注入语句
小白博客
12-22 2862
1 and 1=1 或者1' and '1'='1 判断注入的类型 1 order by 1,2,3,4 数字类型为例;判断当前表存在多少个属性字段1' union select 1,table_name from information_schema.tables where table_schema=database()# 通过占位获取的数据库名 去MySQL的元数据表information_schema中查表名1' union select 1,c...
预防XSS攻击和SQL注入XssFilter
05-19
一、什么是XSS攻击 XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如...
细谈php中SQL注入攻击与XSS攻击
10-28
通常在编程中程序员要考虑的问题不仅是代码效率与代码复用性,而且还要考虑一些安全问题
XSS & SQL注入
10-30
XSS & SQL 注入 XSS(Cross-Site Scripting,跨站脚本)和 SQL 注入是两种常见的 Web 安全漏洞。下面将详细介绍 XSSSQL 注入的概念、原理和应用。 什么是 XSSXSS,或者称为 CSS,代表着跨站脚本。基本上,...
扫描sql注入xss攻击的牛b工具
11-02
在网络安全领域,SQL注入XSS(跨站脚本)攻击是两种常见的威胁,它们针对的是Web应用程序的安全性。本文将详细介绍这两种攻击类型以及相关的防范措施,并介绍一款名为"扫描SQL注射与XSS攻击的牛B工具"的实用工具,...
Spring-MVC处理XSSSQL注入攻击的方法总结
11-14
Spring-MVC处理XSSSQL注入攻击的方法总结
实验三:XSSSQL注入
yghlqgt的博客
11-27 729
试验前需要掌握的知识 下面内容是试验前你需要了解并掌握的知识,详细的内容可以移步到这篇博客中去学习:试验前的知识储备 XSS部分 1、什么是XSS 2 、什么是XSS攻击 3、 什么是Cookie 4、XSS漏洞的分类 5、XSS的防御 SQL注入部分 1、什么是SQL注入攻击 2、为何会有SQL注入攻击 3. 何时使用SQL注入攻击 4、MySQL简介 5、实施SQL注入攻击 6、防范SQL注入方法汇总 实验部分 实验目的: 了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入
kali渗透测试与教学笔记4:XSS
lm19770429的专栏
04-21 289
靶机应用地址:http://10.10.10.129/mutillidae/index.php 想成功执行一个XSS有2步:攻击者数据没有被过滤掉、web应用返回的数据没有经过编码 因此一个安全的web应用要对特殊字符进行编码,最好是进行十六进制编码。 OWASP给出了防止XSS指南。国外网站不好访问,这里提供CSDN的两个地址: https://blog.csdn.net/aerchi/...
网络渗透测试实验三 XSSSQL注入
weixin_62599268的博客
11-22 686
网络渗透测试实验三 XSSSQL注入
DFX 安全测试-- 告诉你什么是XSSsql注入?POST和GET的区别....
a64910807的博客
02-25 961
1、用户权限测试  (1) 用户权限控制   1) 用户权限控制主要是对一些有权限控制的功能进行验证   2) 用户A才能进行的操作,B是否能够进行操作(可通过窜session,将在下面介绍)   3)只能有A条件的用户才能查看的页面,是否B能够查看(可直接敲URL访问)   (2) 页面权限控制   1) 必须有登陆权限的页面,是否能够在不登陆情况下进行访问   2)...
SQL 注入、XSS 攻击、CSRF 攻击
weixin_33910434的博客
09-22 1183
SQL 注入、XSS 攻击、CSRF 攻击 SQL 注入 什么是 SQL 注入 SQL 注入,顾名思义就是通过注入 SQL 命令来进行攻击,更确切地说攻击者把 SQL 命令插入到 web 表单或请求参数的查询字符串里面提交给服务器,从而让服务器执行编写的恶意的 SQL 命令。 对于 web 开发者来说,SQL 注入已然是非常熟悉的,而且 SQL 注入已经生存了 10 多...
Sql注入Xss攻击的了解
赵筱蕊的博客
05-15 2409
Xss攻击是跨站脚本工具 Csrf攻击是跨站请求伪造 sql注入 DDOS流量攻击? 防止xss脚本攻击 Xss攻击即跨站脚本攻击,通过篡改网页,注入而已的HTML脚本,控制用户浏览器进行恶意操作的一种攻击。 防止:script 注入,转义过滤script标签Htmlentities(把字符串转为Html实体) 防止csrf跨转请求伪造 CSRF的防御可以从服务端和客户端...
sql注入漏洞和xss漏洞的相同点与不同点
05-19
SQL注入漏洞和XSS漏洞都是常见的Web漏洞,它们的相同点和不同点如下: 相同点: 1. 都属于Web应用的安全漏洞,都可能导致恶意攻击者利用漏洞获取敏感信息、执行恶意代码等危害。 2. 都可以通过输入一些恶意的代码或者字符来实现攻击。 3. 都可以通过合理的防御措施来避免或者减少安全风险。 不同点: 1. SQL注入漏洞主要是利用Web应用程序对用户输入的SQL语句没有充分过滤或者验证,从而导致恶意攻击者可以通过构造特殊的SQL语句来执行一些恶意操作,比如删除、修改、添加数据等。而XSS漏洞则是利用Web应用程序对用户输入的HTML、JavaScript等标记语言没有充分过滤或者转义,从而导致恶意攻击者可以在网站页面上注入恶意代码,从而实现恶意操作。 2. SQL注入漏洞主要攻击的是后台数据库,而XSS漏洞主要攻击的是前端网页。 3. 防御SQL注入漏洞需要使用安全的SQL查询语句,比如使用预编译语句等,而防御XSS漏洞需要对用户输入的数据进行转义或者过滤,比如使用HTML编码等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值