PortSwigger学院
文章平均质量分 85
BurpSuite官网的课程学习
周无争
这个作者很懒,什么都没留下…
展开
-
UNION 注入
本文翻译自:https://portswigger.net/web-security/sql-injection/union-attacks当应用程序易受SQL注入攻击,并且查询结果在应用程序的响应中返回时,可以使用UNION关键字从数据库中的其他表中检索数据。这导致了SQL注入UNION的攻击。UNION关键字允许您执行一个或多个附加的SELECT查询,并将结果追加到原始查询中。例如:SELECT a, b FROM table1 UNION SELECT c, d FROM table2这个SQ翻译 2021-09-26 14:55:31 · 760 阅读 · 0 评论 -
检查SQL注入攻击中的数据库
本文翻译自:https://portswigger.net/web-security/sql-injection/examining-the-database在利用 SQL 注入漏洞时,通常需要收集有关数据库本身的一些信息。这包括数据库软件的类型和版本,以及数据库的内容,它包含的表和列。查询数据库类型和版本不同的数据库提供不同的查询版本的方式。您通常需要尝试不同的查询才能找到有效的查询,从而能够同时确定数据库软件的类型和版本。确定某些热门数据库类型的数据库版本的查询如下:DBS查询语句翻译 2021-09-26 14:52:25 · 583 阅读 · 0 评论 -
SQL 注入备忘录
本文翻译自:https://portswigger.net/web-security/sql-injection/cheat-sheet这份SQL注入备忘录包含一些有用的语法示例,您可以使用这些语法来执行各种任务,这些任务在执行SQL注入攻击时经常出现。字符串连接您可以将多个字符串连接成为一个字符串。DBSPayloadOracle‘foo’||‘bar’Microsoft‘foo’+‘bar’PostgreSQL‘foo’||‘bar’MySQL‘fo翻译 2021-09-26 14:47:02 · 151 阅读 · 0 评论 -
SQL 盲注
本文翻译自:https://portswigger.net/web-security/sql-injection/blind在这一部分,我们将描述什么是盲目的SQL注入,解释各种发现和利用盲目的SQL注入漏洞的技术。什么是SQL盲注?当应用程序易受SQL注入攻击,但其HTTP响应不包含相关SQL查询的结果或任何数据库错误的详细信息时,就会出现SQL盲注。由于存在SQL盲注漏洞,许多技术(如联合注入)并不有效,因为它们依赖于能够在应用程序的响应中看到注入查询的结果。仍然有可能利用盲SQL注入来访问未经翻译 2021-09-26 14:37:00 · 315 阅读 · 0 评论 -
SQL注入
SQL 注入在本节中,我们将解释什么是SQL注入,描述一些常见的例子,解释如何发现和利用各种SQL注入漏洞,并总结如何防止SQL注入。什么是 SQL 注入SQL 注入是一个 Web 安全漏洞,允许攻击者干扰应用程序对其数据库的查询。它通常允许攻击者查看他们通常无法检索的数据,这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除此数据,从而持续更改应用程序的内容或行为。在某些情况下,攻击者可能会升级 SQL 注入攻击以破坏基础服务器或其他后端基础结构翻译 2021-09-26 14:22:39 · 323 阅读 · 0 评论 -
带外应用安全测试(OAST)
什么是OAST安全测试?本文翻译自:https://portswigger.net/burp/application-security-testing/oast带外应用程序安全测试(OAST)使用外部服务器来查看不可见的漏洞。引入它是为了进一步改进DAST(动态应用安全测试)模型。PortSwigger是使用 Burp Collaborator 进行OAST测试的先驱。这为Burp Suite增加了OAST功能——使该方法更易于使用。OAST测试做了哪些其他方法做不到的事情?一个web应用程序可以包翻译 2021-09-26 14:05:28 · 1242 阅读 · 0 评论 -
动态应用安全测试(DAST)
什么是DAST安全测试?动态应用程序安全测试(DAST)从web应用程序外部测试安全性。一个很好的类比是通过攻击银行保险库来测试其安全性。DAST要求安全测试人员不了解应用程序的内部。这被称为“黑盒”测试方法——因为测试人员看不到隐喻性的“盒子”内部。它的目的是模拟真实的攻击。Burp Suite 诞生于DAST的思维模式。如今,它可以通过其他测试方法来增强和改进扫描,但它本质上仍然是一个黑盒工具。DAST是自动化的还是人工的方法论?答案是“都有”。例如,位于Burp Suite核心的自动扫描仪就扎翻译 2021-09-26 13:36:54 · 3553 阅读 · 0 评论 -
Web应用安全测试
目录什么是web应用安全测试?网络应用无处不在每个人都有数据泄露的风险进入:网络应用安全测试web应用程序安全测试的类型动态应用安全测试(DAST)静态应用安全测试(SAST)交互式应用安全测试(IAST)带外应用安全测试web应用安全测试的不同用途测试每一种网络技术保持合规大规模自动化渗透测试安全发展什么是web应用安全测试?Web应用程序安全测试旨在确定web应用程序是否容易受到攻击。它涵盖了许多不同方法论中的自动和手动技术。网络应用无处不在几年前,当桌面应用还是主流的时候,网络应用比现在少得多翻译 2021-09-26 13:25:25 · 299 阅读 · 0 评论 -
PortSwigger网络安全学院学习路径
以下是如何充分利用网络安全学院的方法如果你是网络安全新手,可能很难知道从哪里开始。这就是为什么我们给出这条建议的学习路径,为你指明正确的方向。我们建议你按顺序完成实验,但是如果遇到困难,那就继续下一个主题。一旦你增长了技能,你可以再回来解决这些有挑战的实验。当你开始培养你的网络安全测试技能时,你可以尝试考取我们的BurpSuite从业者认证来测试自己的技能。在你准备尝试BurpSuite从业者认证考试之前,你应该能够轻松完成网络安全学院中所有标有Practitio...翻译 2021-09-26 13:05:09 · 887 阅读 · 0 评论