![](https://img-blog.csdnimg.cn/2019091813595558.png?x-oss-process=image/resize,m_fixed,h_224,w_224)
Web渗透
文章平均质量分 81
以具体实验为背景开展一次完整的web渗透流程
Two-words
这个作者很懒,什么都没留下…
展开
-
SQL注入漏洞解析(环境SQLi-labs)
SQL注入漏洞详解什么是SQL注入原理:Sql注入,由于Web应用程序对用户输入数据的合法性没有判断和过滤,导致后台SQL语句拼接了用户的输入。用户可以通过构造不同的Sql语句来实现对数据库的任意操作。(如:增删改查)。解释:当我们用户在前端浏览器页面做一些事情的时候,当需要与数据库进行交互时,比如最简单的登陆账号,web应用程序接收到我们账号密码后,需要后台有这样一个数据库的命令,去查询数据库中是否有这样的一个账号密码与之对应,然后做出判断:是否存在用户名,若存在,用户名与密码是否相匹配。然而原创 2021-02-04 15:53:23 · 1295 阅读 · 0 评论 -
php反序列化漏洞
PHP反序列化序列化为什么要进行序列化当对一个变量赋值后,在本次程序运行完成后,变量会从内存中清除掉。而序列化的目的时把变量保存在硬盘中,用到时可方便的通过反序列化把之前序列化的内容变回可用变量。即序列化用于在存储或传递PHP的值的过程中,同时不丢失其类型和结构。利于对象的保存和传输。两个函数序列化反序列化对象转换为字符串特定格式的字符串转换为对象函数:serialize()函数:unseriasize()serialize():当在php中创建了一个对象后原创 2021-04-29 22:47:42 · 333 阅读 · 0 评论 -
比较常用的Google语法总结
Google语法高级搜索字符注释info:查看指定站点的基本信息intitle:标题搜索(只会对页面的标题搜索配对)intext:内容(正文)搜索inurl:对url进行限制,搜索url中含有关键字的内容filetype:对文档类型进行限定related:搜索相关信息(辅助搜索同类型网站)link:搜索所有链接到某个特定url的页面site:搜索限制在站点域名之内(可用来搜索子域名)例:site:baidu.comGoo原创 2021-03-16 14:25:43 · 3297 阅读 · 0 评论 -
Xss(跨站脚本攻击)漏洞解析
xss跨站脚本攻击什么是XSS跨站脚本攻击 (Cross Site Script),缩写CSS,为了和层叠样式表(Cascading Style Sheet,CSS)区别,在安全领域叫做“XSS”,是一种Web应用程序的漏洞。原理:攻击者向有XSS 漏洞的网站中(web页面)插入恶意的JavaScript代码,当用户浏览该网站页面时,嵌入其中的代码就会自动执行,从而达到恶意攻击的用户目的。XSS漏洞的危害盗取用户Cookie破坏页面结构重定向到其它网站传播蠕虫病毒。XSS漏洞的分类原创 2021-02-18 14:31:05 · 892 阅读 · 0 评论 -
pikachu-sql注入(皮卡丘)
数字型注入(post)post注入方式,可用BurpSuite进行抓包,发送到Repeater模块进行id值的修改 数字型注入 则不需要添加字符payload: or 1=1字符型注入(get)字符型注入 当输入1'时 有报错信息''1'''可以看到源name值由单引号''包裹可以用 '进行闭合 并用#注释掉后边内容payload: 1' or 1=1 #搜索型注入根据提示 我们可以输入用户名一部分进行查询 并添加字符'如下图 并显示报错由报错信息可以看到需要加%'进原创 2020-08-04 11:04:05 · 2032 阅读 · 3 评论