- 博客(4)
- 收藏
- 关注
RSS订阅原创 web安全 宽字节注入、堆叠注入
宽字节是相对于ascII这样单字节而言的;像 GB2312、GBK、GB18030、BIG5、Shift_JIS 等这些都是常说的宽字节,实际上只有两字节。GBK 是一种多字符的编码,通常来说,一个 gbk 编码汉字,占用2个字节。一个 utf-8 编码的汉字,占用3个字节。转义函数:为了过滤用户输入的一些数据,对特殊的字符加上反斜杠“\”进行转义;宽字节注入指的是 mysql 数据库在使用宽字节(GBK)编码时,会认为两个字符是一个汉字(前一个ascii码要大于128(比如%df),才到汉字的范围),而且
2022-06-13 22:18:19
774
原创 web安全 sql盲注和报错注入
可以基于这个函数,实现盲注。例:输入1’ and length(database())>3 – -得到了结果没有报错,所以可以得到数据库名字节数大于3,输入1’ and length(database())>4 – -得到了结果报错,所以得到数据库名字节数不大于4,输入1’ and length(database())=4 – -得到结果没报错,所以得到数据库名字节数为4.根据这两个函数得作用,来做盲注猜测。输入1’ and ascii(substr(database(),1,1))>99 –
2022-06-13 20:11:38
763
原创 web安全sql注入篇——sqls-labs的安装和注入
我们在刚学习 SQL 注入的时候,往往都需要一个能 SQL 注入的网站进行 SQL 注入学习。如果直接去网上寻找存在 SQL 注入的网站对新手来说有些难度,因此我们一般都是在本地搭建一个能 SQL 注入测试的网站。这里就来讲解一下 SQLi-Labs 的下载,安装,搭建教程。注意: mysql 版本一定要设置成 php5 以上,php5 以上才有 information_schema 库。SQLi-Labs 是一个专业的 SQL 注入练习平台,它适用于 GET 和 POST 等多场景的注入。使用 phpSt
2022-06-10 16:34:27
1880
原创 web安全 sql注入环境-DVWA搭建-day01
DVWA(Damn Vulnerable Web App)是一个基于PHP/MySql搭建的Web应用程序,旨在为安全专业人员测试自己的专业技能和工具提供合法的 环境,帮助Web开发者更好的理解Web应用安全防范的过程。因为这里是实验环境,所以我们使用可以方便快捷的搭建方式一键启动WNMP(Windows;nginx;mysql;php)启动phpstudy以后将下载的DVWA源码解压并放入到F:/xiaopi/phpstudy_pro/WWW/hzy中(根据自己小皮目录选择)![在这里插入图片描述]
2022-06-09 13:16:26
257
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人