渗透测试
文章平均质量分 73
渗透测试
重生者安全
网络安全渗透测试
展开
-
绕过限制低价购买和增删低价购买逻辑漏洞
业务逻辑漏洞是应用程序设计和实现中的缺陷,允许攻击者引发意外行为。这可能使攻击者能够操纵合法功能以实现恶意目标。这些缺陷通常是由于未能预测可能发生的异常应用程序状态,因此未能安全处理它们。原创 2022-09-21 20:08:32 · 273 阅读 · 0 评论 -
Burp suite主题插件
Burp Suite 2020.12 用 FlatLaf 替换了旧的 Look and Feel 类,这是一个开源 Look and Feel 类,它还支持为 IntelliJ 平台开发的 3rd 方主题。此扩展允许您在 Burp Suite 中使用这些主题,并包含许多捆绑主题供您尝试。但是,有些人仍然想要更多…下载地址:https://download.csdn.net/download/chen_zhangkonzhe/86621504?原创 2022-09-22 17:01:48 · 2140 阅读 · 4 评论 -
实战敏感信息泄露高危漏洞挖掘利用
信息泄露就是某网站某公司对敏感数据没有安全的保护,导致泄露敏感被攻击者利用,例如泄露:账号,密码,管理员,身份证,数据库,服务器,敏感路径等等这次带领大家了解了信息泄露挖掘和实际利用,有喜欢的可以点个关注!我会持续更新质量更好的文,后面会持续更新在实战过程中挖掘漏洞技巧的专栏**声明:**本作者所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,本作者不承担相应的后果。原创 2022-09-19 11:53:39 · 2516 阅读 · 1 评论 -
SQL报错注入原理与实战利用讲解
MySQL有很多函数支持报错:updatexml() ,floor(), extractvalue() linestring() multipolygon() poolygon() multion()等。但是虽然采用了updatexml报错函数但是该函数只能显示32长度的内容,如果获取的内长度超过32则不会显示,然而这时候就需要使用字符串截取方法了,每次能够获取32个字符串的长度。首先需要获取当前数据库,通过数据库获取表名,接着通过表名获取字段,最后获取字段的数据内容。获取到表名就可以接着获取字段了。原创 2022-09-13 16:12:20 · 1528 阅读 · 4 评论 -
SQL 布尔型盲注入的原理与注入攻击
布尔型注入,一般在测试中不会在页面显示数据库信息,只会提示对与错的内容。代码的过程:get接收id参数-》id带入查询-》如果存在值返回id exists字符串信息。例如:在某个系统登录页面输入账号密码时提示对与错,要是存在注入就是SQL盲注入,盲注入有两种方式:一种是布尔型忙注入,另外一种是延时注入。原创 2022-09-12 15:55:20 · 1454 阅读 · 0 评论 -
详细的SQL注入基础到union注入获取密码实战
SQL注入原理参数用户可控:从前端传给后端的参数内容是用户可以控制的参数带入数据库查询:传入的参数拼接到SQL语句,且带入数据库查询,当用户传入参数为1'的时候在数据库执行如下方所示。字符型注入原理当我在用户可控处输入'时SQL会报错说明可能存在SQL注入转载 2022-09-10 19:54:59 · 672 阅读 · 0 评论 -
渗透测试实战信息收集
实战信息信息收集转载 2022-09-05 17:47:22 · 587 阅读 · 0 评论