- 博客(3)
- 收藏
- 关注
RSS订阅原创 CSRF跨站请求伪造靶场实战
csrf跨站伪造请求的原理是:1.用户的cookie短时间内不会过期2.网站使用javascript发起网络请求3.浏览器的信任机制使得浏览器会完全信任用户访问的站点,不会阻止跨站访问请求csrf的成功条件:1.用户要登录目标站点2.目标用户访问攻击者的csrf靶场这次的靶场为dedecms,可以本地搭建一个同版本的cms查看是否存在csrf漏洞。1.搭建好本地站点后进入后台发现存在文件管理功能2.使用burpsuite抓包并右键选择转换为csrfpoc3.测试poc是否可用成
2021-03-29 18:28:45
295
原创 SQL注入之POST注入
pass-051.使用万能密码在密码栏内输入确认存在post注入,闭合方式为’2.使用order by进行字段数查询确认字段数为33.使用联合查询判断显错位置4.查询当前库内表名查询到名为flag的表5.查询flag表中字段名发现目标6.获得flagpass-061.使用万能密码输入确认存在post注入,闭合方式为”)余下操作同pass-05,只将语句中’更换为”)即可...
2021-03-28 23:05:01
265
原创 SQL注入之显错注入
Sql注入原理:将用户输入的数据当做sql语句来执行两个条件:1.用户能用控制输入的内容2.程序原本要执行的代码拼接了用户的数据执行pass-011.由url判断为get传参2.输入?id=1 and 1=1,页面显示正常输入?id=1 and 1=2,页面显示错误由此判断为数字型注入且有回显3.输入?id=1 order by 4 页面显示错误输入?id=1 order by 3 页面显示正常由此判断当前表中字段数为34.使用联合查询输入?id=1 and 1=2 union s
2021-03-28 22:59:02
281
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人