- 博客(7)
- 收藏
- 关注
RSS订阅原创 MySQL笔记
首先通过小p面板从终端打开MySQL见如下博客小皮.phpstudyV8不知道怎么进入mysql命令行_小皮打开数据库命令行_归去来兮-zangcc的博客-CSDN博客注意:不要忘记在语句后面加;查询所有数据库创建数据库删除数据库使用数据库查询当前数据库 注:加括号数据库chen中没有表,切换数据库sys查询表出现好多表结构注:所有符号均为英文标点符号【特别注意】最后一个字段后面没有逗号!!!没有逗号!!!没有逗号!!!MySQL中的数据类型有很多,主演分为
2023-12-18 21:35:14
934
1
原创 pikachu(皮卡丘)--SQL-Inject
与SQL注入相关知识点1.在MYSQL5.0版本后,系统会默认在数据库中存放一个schemata表用来存放用户创建的所有数据库的库名,需要记住数据库库名的字段名为tables存放数据所有数据库名和表名,记住这两个字段名和table_namecolumns存放所有的数据库名,表名和列名,需要记住这三个字段名table_name看到上面的说明应该明白输入等字段的原因了database():当前网站使用的数据库version():当前MYSQL的版本user(): 当前MYSQL用户或--空格或。
2023-10-17 16:41:20
116
原创 pikachu
首先,随便选一个球星,观察到url是可见其中包含了一个文件file1.php,猜测这里其他文件名可能也是个filex.php(x是数字)的格式把5个NBA球星都选一遍,发现文件名确实是file1.php~file5.php用burp爆破,send to intruder爆破位置设置为文件名中的数字,payload设置为Numbers,从6到100,步长为1,点start attack开始爆破。
2023-10-17 16:40:29
333
原创 pikachu(皮卡丘)--CSRF
简要概述为1、我们判断一个网站是否存在CSRF漏洞,其实就是判断其对关键信息(比如密码等敏感信息)的操作(增删改)是否容易被伪造。2、本质是借用户的权限完成攻击,因此攻击成功需要用户已经通过验证获得了权限,并触发了攻击者提供的请求。3、网站如果要防止CSRF攻击,则需要对敏感信息的操作实施对应的安全措施,防止这些操作出现被伪造的情况,从而导致CSRF。比如:--对敏感信息的操作增加安全的token;--对敏感信息的操作增加安全的验证码;
2023-09-16 11:48:19
261
原创 pikachu(皮卡丘)--Cross-Site Scripting
反射型XSS将用户输入的内容作为代码让浏览器执行达到攻击目的,一般需要让用户访问攻击者构造的URL。这种类型的攻击只发生在客户端上,并且需要从带有恶意脚本参数的特定URL进入,所以也称为非持久型XSS。交互的数据一般不会被存在在数据库里面,一次性,所见即所得,一般出现在查询类页面等。
2023-09-15 21:44:34
108
原创 pikachu(皮卡丘)--Burte Force
发现返回的仍然是用户名或密码错误,这说明验证码还是正确的,但是已经改了一次密码,验证码还是之前的,这就说明服务器对验证码的验证有漏洞,可以绕过,这个验证码可以一直使用。随便输入一个用户名和密码,分别输入正确的和错误的验证码,都显示用户名或密码错误,但是输入错误的验证码页面直接弹窗报错,并且无法抓包;有一种情况验证码可以绕过,就是输入一个正确的验证码后,这个验证码会一直被系统认定为正确的,这种情况只要一开的验证码是正确的,那就不影响我们爆破密码。输入错误的验证码,显示验证码输入错误;输入正确的验证码抓包。
2023-09-09 20:29:20
84
原创 JavaScript笔记
JavaScript 的数据类型,共有六种,分别为数值(number):整数和小数(比如1和3.14字符串(string):文本(比如布尔值(boolean):表示真伪的两个特殊值,即true(真)和false(假)。undefined:表示“未定义”或不存在,即由于目前没有定义,所以此处暂时没有任何值。null:表示空值,即此处的值为空。对象(object):各种值组成的集合。通常,数值、字符串、布尔值三种类型合称原始类型的值,即最基本的数据类型,无法细分;
2023-06-16 10:57:24
63
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人