- 博客(7)
- 收藏
- 关注
RSS订阅原创 详解 SQL注入(盲注)
0x01 SQL注入漏洞的分类根据不同的标准,SQL注入漏洞可以有不同的分类。根据数字类型分类,SQL注入分为两大基本类型。数字型拼接到SQL语句中的参数,是以数字出现的,即引号两边没有单双引号。字符型拼接到SQL语句中的参数,是以文本出现的,即引号两边有单双引号。注入手法联合查询(Union Query SQL Injection)报错注⼊(Error-Based SQL Injection)布尔盲注(Boolean-based Blind SQL Injection)延时注⼊(Tim
2020-08-03 20:31:28
716
原创 渗透测试方法论(详解)
0x01 渗透测试的种类黑盒测试黑盒测试也称功能测试,它是通过测试来检验每个功能是否能正常使用。在进行黑盒测试验时,渗透测试工程师不清楚被测目标内部构造的情况下,从外部评估网络基础设施的安全性,在渗透测试的各个阶段,黑盒测试借助真实世界的黑客技术暴露出目标的安全问题,甚至可以揭露尚未被他人利用的安全弱点。渗透工程师应该了解这些安全弱点并将安全弱点进行分类,并按照风险等级(高、中、低)对其进行排序。风险等级取决于相关弱点可能形成危害的大小。当测试人员完成黑盒测试的所有工作之后,应当把与测试对象安全状况有关
2020-07-31 20:02:48
1137
原创 初学SQL注入(联合查询)
SQL注入原理1、程序员在处理程序的过程和数据交互时,使用字符串拼接的方式构造SQL语句。2、未对用户可控参数进行足够的过滤,便将参数的内容拼接到SQL语句中。SQL注入的危害1、攻击者利用SQL注入漏洞,可以获取数据库中的多种信息(例如:管理员的后台密码),从而脱去数据库中的内容,简称脱库。2、在特别的情况下还可以修改数据库内容、插人内容到数据库或者删除数据库中的内容。3、如果数据库权限分配存在问题,或者数据库本身存在缺陷,攻击者可以利用SQL注入漏洞读写文件,读取敏感文件或者上传恶意文件,可
2020-07-27 19:23:57
567
原创 DVWA的简介和搭建
DVWA简介DVWA(Damn Vulnerable Web App)是一个基于PHP/MySql搭建的Web应用程序,旨在为安全专业人员测试自己的专业技能和工具提供合法的 环境,帮助Web开发者更好的理解Web应用安全防范的过程。DVWA包含的漏洞环境:Brute Force 暴力破解Command Injection 命令注入CSRF 跨站请求伪造File Inclusion
2020-07-24 20:21:13
953
原创 初学HTTP协议的相关知识
一丶利用telnet模拟浏览器发送HTTP请求,测试多种请求方法1.打开装有telnet的Linux系统,输入 telnet 目标IP 端口 命令进行连接.2.然后输入请求的类型,格式如下图所示.依次按照以上方法测试自己的多种请求3.介绍一些HTTP请求包中的一些信息,HTTP请求由请求行,请求头,请求正文三部分组成.二丶通过BP抓取后台登录数据包并分析.1.首先浏览器发送POST请求向服务器提交用户名和密码等相关表单信息,并且可以看出请求正文中的信息.2.我们可以看出服务器的响应报文
2020-07-22 20:43:14
98
原创 交换机路由器的一些基本命令
交换机路由器基本配置命令 今天学会了一些交换机和路由器的基本配置命令,在这里分享给大家!! :) 下面是我做的一个小实验,包含了拓扑图和一些命令!! 最后头还有大神笔记哦!! :)作业一、1.按照拓扑图购买设备并连线。2.配置所有部门PC的IP地址及网关。在这里提示大家:配完IP地址一定要记得no shutdown 哦!!3.验证全网互通。作业二、1.开启路由器...
2020-02-25 20:29:29
3926
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人