web安全
文章平均质量分 95
web安全笔记
kinghtxg
这个作者很懒,什么都没留下…
展开
-
SQL注入简介
SQL全称是“结构化查询语言”,最早是IBM为关系数据库系统SYSTEMR开发的一种查询语言,SQL语言结构简洁,功能强大,简单易学,所以IBM于1981年推出后得到了广泛的应用在1998年12月的《Phack》第54期,名为rfp的黑客发表了一篇名为“NT Webs Technology Vulnerabilities”的文章,随后一种在OWASP TOP10排行榜霸榜多年名为SQL注入的漏洞来到了世人的眼前原文地址:http://phrack.org/issues/54/8.html。原创 2023-01-30 17:01:26 · 853 阅读 · 1 评论 -
10.二次注入
title: 10.二次注入date: 2020-08-22 23:55:00categories:4.网络安全1.Web安全1.SQL注入tags:1.Web安全2.SQL注入二次注入与其他的注入不同,他不能再当前页面通过反馈来获取或者判断页面的信息,而是需要绕一个圈二次注入的原理二次注入主要分为两步第一步:插入恶意数据第一次进行数据库插入数据的时候,仅仅对其中的特殊字符进行了转义,在写入数据库的时候还是保留了原来的数据,但是数据本身就包含恶意内容第二部:引用恶意数据.原创 2020-08-26 11:06:50 · 2328 阅读 · 0 评论 -
9.二次编码注入
title: 9.二次编码注入date: 2020-08-21 23:55:00categories:4.网络安全1.Web安全1.SQL注入tags:1.Web安全2.SQL注入二次编码注入和宽字节注入有着异曲同工之妙,都是在面对PHP代码或者配置,对输入的‘(单引号)进行转义的时候,在处理用户输入的数据时存在问题,绕开了转义二次编码注入原理编码为什么要进行编码编码肯定是因为原始的格式并不适合传输才进行的,例如+,=,&,;等符号在http请求过程中会与原有格式.原创 2020-08-26 11:06:38 · 792 阅读 · 0 评论 -
8.宽字节注入
title: 8.宽字节注入date: 2020-08-18 14:05:00categories:4.网络安全1.Web安全1.SQL注入tags:1.Web安全2.SQL注入在一些特定的场景,常规语句不能直接进行注入,但是因为程序代码开发存在一些瑕疵,我们可以使用PHP的一些特性进行注入,比如这次的宽字节注入宽字节注入原理什么是宽字节?如果一个字符其大小为1个字节的称为窄字节,如果为两个字符的就被称为宽字节一个字节有八个bit,有255种组成方式,英文由于只有24个字.原创 2020-08-26 11:05:22 · 451 阅读 · 0 评论 -
7.Dnslog盲注
title: 7.Dnslog盲注(mysql8不可用)date: 2020-08-10 14:05:00categories:4.网络安全1.Web安全1.SQL注入tags:1.Web安全2.SQL注入什么是DNS?我们在进行网页浏览的时候,通常会输入一段URL,而我们访问服务器用的则是服务器的IP地址。从URL转换到IP地址,这个就是DNS的作用了我们在配置网络的时候,都会配置DNS地址,浏览器或者应用访问URL,首先会去查找本地的hosts文件,如果没有,就会发送请求到D.原创 2020-08-26 11:04:45 · 233 阅读 · 0 评论 -
6.时间注入
title: 6.时间注入date: 2020-08-07 14:05:00categories:4.网络安全1.Web安全1.SQL注入tags:1.Web安全2.SQL注入我们在上一章节已经基本了解了盲注的概念和布尔盲注,时间注入与布尔盲注原理类似,也是盲注的一种。什么是时间注入时间注入、时间盲注、延时注入都是它,它使用在一种比布尔盲注还要极端的状态<?phperror_reporting(E_ALL&~E_WARNING);include("../s.原创 2020-08-26 11:04:14 · 2062 阅读 · 0 评论 -
5.布尔盲注
title: 5.布尔盲注date: 2020-07-30 17:24:00categories:4.网络安全1.Web安全1.SQL注入tags:1.Web安全2.SQL注入的注入我们已经有了简单的概念,然而,就是在sql注入过程中,某些sql语句的执行结果被程序限制不回显到前端,这时候我们只能用一些别的方法进行判断或者尝试,这个判断或尝试过程就叫盲注。什么是布尔盲注布尔是判断真假,那么布尔盲注就是通过判断真假的方式来判断或尝试的注入攻击<?phperror_re.原创 2020-08-26 11:01:52 · 536 阅读 · 1 评论 -
4.SQL注入语法类型
title: 4.SQL注入语法类型date: 2020-07-17 21:49:00categories:4.网络安全1.Web安全1.SQL注入tags:1.Web安全2.SQL注入的SQL注入的语法类型分为union联合查询注入和报错注入,在上一章手工注入中,我们大量使用union操作符,我们在这一节会对它进行一个简单的总结,然后对报错注入进行一个详细的讲解union联合查询注入union操作符介绍union操作符用于合并两个或多个select语句的结果集注意,un.原创 2020-08-26 11:01:12 · 297 阅读 · 0 评论 -
3.Mysql手工注入方法
title: 3.Mysql手工注入方法date: 2020-07-12 07:49:00categories:4.网络安全1.Web安全1.SQL注入tags:1.Web安全2.SQL注入上文我们讲到了如何找到注入点,以及一些简单工具的使用,但为了深入理解sql注入的原理、在一些场景能够灵活的进行测试,这一次,我们对手工注入进行简单了解Mysql数据库结构Mysql数据库基础结构主要分为连接层、SQL层、存储引擎层连接层定义了数据库库如何与外部程序进行通信,并控制连.原创 2020-08-26 11:00:53 · 238 阅读 · 0 评论 -
2.SQL注入流程
title: 2.SQL注入流程和注入相关常用函数date: 2020-06-29 13:10:00categories:4.网络安全1.Web安全1.SQL注入tags:1.Web安全2.SQL注入在对SQL注入原理有了一定基本了解之后,我们需要想办法来找到SQL注入漏洞寻找SQL注入点只有发现了SQL注入点,我们才能通过掌握的方法获取我们想要的数据目标搜集无特定目标没有一个明确的目标,可以使用搜索引擎对互联网中的目标进行一个广泛搜索inurl:.php?id=.原创 2020-08-26 10:59:12 · 217 阅读 · 0 评论 -
1.SQL注入原理
title: 1.SQL注入基础date: 2020-06-25 21:38:47categories:4.网络安全1.Web安全1.SQL注入tags:1.Web安全2.SQL注入在1998年12月的《Phack》第54期,名为rfp的黑客发表了一篇名为“NT Webs Technology Vulnerabilities”的文章,随后一种在OWASP TOP10排行榜霸榜多年名为SQL注入的漏洞来到了世人的眼前原文地址:http://phrack.org/issues/54.原创 2020-08-26 10:58:44 · 202 阅读 · 0 评论