web安全

最新推荐文章于 2024-07-25 10:08:48 发布
最新推荐文章于 2024-07-25 10:08:48 发布
阅读量247 收藏 1
点赞数 1
分类专栏: WEB安全 文章标签: web安全 ctf实验吧 登录一下好吗
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lun_hui95/article/details/78149038
版权

CTF实验吧 登录一下好吗??

select * from user where username='$username'and password='$password'
  • 试试字符串内联注入 ‘or1=1or’1’=’1 结果发现过滤or字符;
  • 参考别人使用注入”=’方法得到
    这里写图片描述
  • 但是我不懂为啥username='''=''and password='''=''判断为真(没学过SQL)
  • 经过测试注入'='也可以,搞不懂
  • 经过几轮测试发现只要符合xxxxx'='xxxx都可以
  • 判断语句应该就是username=’xxxx’=’xxxxx’为真;
  • 后来我就看书想查询上面语句怎么判断的,偶然看到between and关键字范围查询,试试使用between语句注入,一试竟然成功了,,瞎猫碰到死耗子了。
    这里写图片描述
username=''between''and password=''

学习笔记:

  • 如果在电脑编写博客过程中卡死了,可以直接关机再打开网页
  • 过滤or、注释字符可以采用username=‘xx’=’xx’判断条件为真来进行注入
  • 参考between and关键字查询来进行between字符注入。
lun_hui95
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web安全漏洞加固手册 V2.0
03-17
Web安全漏洞加固手册 V2.0
web安全爆破字典bp.txt
10-28
web安全-抓包字典
南邮CTFWEB
Galaxy_fan的博客
10-11 482
文件包含 得到提示这是一个关于LFI的题,就可以上网搜什么是LFI 这是PHP函数造成的本地文件包含漏洞 抓个包,可以这就是看到文件包含漏洞了 通过构造语句/web7/index.php?file=php://filter/read=convert.base64-encode/resource=index.php 得到一串base64加密的字符串 去base64解密,得到flag MYS...
CTF-web-你必须让他停下
三天不打上房揭瓦的博客
08-26 783
前言:小编也是现学现卖,方便自己记忆,写的不好的地方还请包涵,也欢迎各位大佬多多批评指正。 网址: 你必须让他停下 **1.**打开网址可以看到页面一直在不停的刷新。 **2.**老规矩右键查看源代码,发现源代码中,写着答案在这里,可是并没有看到。 3. 使用bp 抓包查看,小编经过N 次 send后,终于看到了falg出现在了源码中,所有最终的答案是:flag{dummy_game_1s_s0_popular} ...
Web安全基本概念
weixin_43994244的博客
03-04 7237
域名 什么是域名? 域名(Domain Name),又称网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时对计算机的定位标识(有时也指地理位置)。 例:www.baidu.com DNS 什么是 DNS? 域名系统(Domain Name System,缩写:DNS)是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。DNS使用UDP端口53。当前,对于每一级域名长度的限制是63个字符,域名总长度则不能超过2
常见六大Web安全问题
letianxf的博客
11-26 7288
一、 XSS Cross-Site Scripting(跨站脚本攻击)简称 XSS(因为缩写和 CSS重叠,所以只能叫 XSS),是一种代码注入攻击。 攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 原理 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私
WEB安全
qq_45886314的博客
05-07 2541
WEB安全 web业务平台的不安全性主要是由web平台的特点,即开放性所致。 根据Gartner的调查,信息安全攻击有75%都是发生在Web应用层而非网络层面上。 根据世界上权威的web安全与数据库安全研究组织owASP提供的报告,目前对web业务系统威胁最严重的两种攻击方式是sQL入踟卡和xSs-陈站脚本攻击。 客户端与服务器的典型交互过程 软件都是人写的,人都会犯错或考虑问题不周的,越大的系统越容易有漏洞。 通常情况下99.99%无错的程序很少会出问题。 但99.99%无错的程序仍会被
web安全详解(渗透测试基础)
热门推荐
sunnygao的博客
11-20 2万+
文章目录一、Web基础知识1.http协议2.网络三种架构及特点3. Web应用的特点4.URL组成6.Http协议的性质7.请求响应报文的格式8.请求方法9.http缓存10.缓存新鲜度如何判断11.Http重定向原理以及状态码12.HTTPS协议 数字证书13.HTTPS协议与HTTP协议的区别?14. Web客户端的作用15.Web服务端作用16.集群环境的作用17.什么是Cookie,Cookie的作用。18.Cookie 的类型19.session的作用和原理Session的原理Session的两
暴力破解——Web安全
qq_44915227的博客
04-19 2441
暴力破解
Web安全摘要
DZ Space
11-05 4402
银弹
CTF web安全45天入门学习路线
b1ackc4t的博客
01-23 7719
前言 因为最近在准备开发CTF学习平台,先做一个学习路线的整理,顺便也是对想学web的学弟学妹的一些建议。 学习路线 初期 刚刚走进大学,入了web安全的坑,面对诸多漏洞必然是迷茫的,这时的首要任务就是打好网站开发的基础,曾有伟人说过-“自己不会做网站,何谈去找网站的漏洞”,在学习漏洞前,了解基本网站架构、基础网站开发原理,基础的前后端知识,能够让你之后的漏洞学习畅通无阻。 html+css+js(2-3天) 前端三要素 html、css、js是被浏览器解析的代码,是构成静态页面的基础。也是前端漏洞如xss
WEB安全深度剖析.pdf
07-05
Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度...
WEB安全入门基础.pptx
08-24
WEB 安全入门基础 本资源摘要信息主要关注 WEB 安全入门基础,涵盖了 WEB 安全的基本概念、HTTP 协议、加密算法、DOS 命令、信息收集、渗透测试等方面的知识点。 WEB 安全入门基础 WEB 安全入门基础主要包括 WEB ...
网络安全之初始访问阶段攻防手段(三)
最新发布
子非渔
07-25 838
初始访问阶段攻防手段(SEIM、NDR、EDR、XDR、SOC、态势感知、僵木蠕、DNS、NETFLOW、DDOS、WAF、防火墙、日志审计)以及使用场景。
网络安全常见错误及解决办法(更新中)
qq_42041946的博客
07-22 427
设置一下wwwtest访问权限做负载均衡使用火狐浏览器访问一直访问一个页面,使用谷歌就正常两个也轮换,是火狐浏览器的问题在nginx的配置文件里改站点根目录,但是网页报了403 Forbidden,重安装了个centos也不行强制刷新过了,改回相对路径html才可以。答:403就是没有权限 再/web这个文件夹下chown -R nginx:nginx .(如果不行就看看你的selinux 有没有关闭,vim /etc/selinux/config 看看是不是disabled。
网络安全相关竞赛比赛
黑战士的博客
07-18 842
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
中小企业常见的网络安全问题及防范措施
w651428055的博客
07-22 527
在当今数字化时代,Web应用程序已经成为企业与用户互动的主要平台,但随之而来的是日益复杂的网络安全威胁。为了保护Web应用程序免受各种攻击,Web应用程序防火墙(WAF)应运而生。本文将深入探讨WAF的概念、工作原理、分类、特点以及如何选择和部署WAF,帮助读者更全面地理解WAF在网络安全中的重要作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值