dvwa中SQL注入遇到的网站安全等级问题

已于 2023-12-25 21:37:08 修改
阅读量450 收藏 5
点赞数 7
文章标签: 数据库 mysql
于 2023-12-25 17:52:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38467991/article/details/135205166
版权
文章讲述了在网站设置为低安全等级时,由于存在SQL注入漏洞,用户提交的1会被误识别为SQL语句。解决方法是删除安全级别中的某个值,将安全等级降低,消除token,同时提及通过修改服务器文件将默认安全设置改为low来防止漏洞利用。
摘要由CSDN通过智能技术生成

当设置网站安全等级为low后,网站居然存在token并且提交的1'无法被判定为是SQL语句

当抓包后发现居然发现security有两个值

于是把第一个删了就可以将安全等级降为low从而token值无效没了用处

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ‘‘1’’’ at line 1
错误信息提示了在的SQL语句中存在一个未被识别的语法部分,是由于不正确的引号使用导致的问题。这种错误通常会阻止数据库执行查询或操作,因它无法识别或解释输入的SQL语句。所以说这里把用户输入的内容直接拼接到了SQL语句中,存在SQL注入漏洞。


补充:后来发现这个无论怎么提交security的变化网页显示还是impossible

索性将服务器文件改一下把default改为low(根据实际需求)

这样就算网页显示为impossible但实际上是low,token不见了。

U.cool
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
web安全技术-实验四、初SQL注入
08-20
1. 配置实验环境,选择安全等级 low,打开 SQL 回显注入页面; 2. 尝试输入 1 查看查询结果,检测网站是否存在 SQL 漏洞; 3. 进行三种注入 POC(变量不在引号、变量在单引号、变量在双引号); 4. 确定查询...
dvwa无法修改 一直impossible 已解决
hello world
02-14 4551
问题DVWA Security将等修改成了low,但是某个模块还是impossible 解决 假设同时在火狐和谷歌登录了admin账号。火狐运行正常,可是谷歌无法将某个模块修改成low。 解决方法就是:两个浏览器同时退出账号,并在谷歌上删除缓存,或者稍等片刻,打开无痕窗口并访问你的ip或域名/dvwa 这里不要加上/vulnerabilities/某个模块名/ 登录后再次设置安全等级成low即可。 参考:[求助]新人求助!!为什么我将DVWA别调为low了,但是在用burpsuit
DVWA不了安全等级,一直卡在一个
weixin_48083470的博客
05-29 2102
关于DVWA不了安全等级,一直卡在一个 今天在DVWA平台做实验,出现了问题,换不到想要的安全等级: 自己动手找找问题,他是通过传参数来确定等的,那就用burpsuite抓一下看看 当你把这个安全等级删了再发出去,会发现到了high这个页面。。。。。 这个多出来的安全等级cookie也不知道哪里来的,页面每次刷新都会自动加上去。。。。 浏览器的cookie缓存清空了也还是会这样 如果有大佬看到知道怎么回事的希望能指点一下 解决办法 上面删除的方法太麻烦了,而且对于盲注high的分页注入
DVWA不能修改问题解决
weixin_42075643的博客
02-18 2752
DVWA平台上进行测试时,会出现等了,但是有的模块是impossible的情况:我是这样解决的 1、先清空浏览器的缓存(这里可以清空最近的,就是打开DVWA之后的清空就可以了e.g:最近一小时) 2、退出DVWA,重新登录 3、换了浏览器,URL粘贴只把DVWA的根目录粘贴过去不要有vulnerabilities 例如:http://localhost/DVWA即可 4、重启浏览器 …应该就可以解决了 ...
dvwa无法修改问题
欢迎来到我的博客
03-22 582
在使用burp时出现两个等 cookie="security=impossible; security=low… 原因:在多个浏览器登录了burp 解决:退出所有登录账号,删除浏览器缓存,重新登录,修改(需要等一段时间才能生效) 转载:https://blog.csdn.net/qq_34626094/article/details/113129346 ...
DVWA难度等无法问题
自在如风
09-05 8254
针对这种情况,需要将之前登录的痕迹抹去,以火狐浏览器为例,退出dvwa登录状态后,将缓存cookie清除,这个只需要进入定制里有个抹去痕迹拖入工具栏即可,以后即可随时清除痕迹。然后重新登录即可成功设计难度等。 如果同时开了多个浏览器,登录dvwa,需要全部退出,并抹去痕迹,重新登录即可。 亲测可用。 ...
DVWA学习(一)SQL Injection
yusakul的博客
11-20 1113
本文参考自https://www.jianshu.com/u/9dac23b54fba,根据自己的学习进度可能会有不同的地方,详细可以查看原文链接。 SQL Injection,即SQL注入,是指攻击者通过注入恶意的SQL命令,破坏SQL查询语句的结构,从而达到执行恶意SQL语句的目的。 DVWA安全级别:LOW 输入1: 输入1’: You have an error in you...
DVWA-SQL注入全等绕过方法
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
03-29 2959
DVWA-SQL注入全等绕过方法前言一、Low别union注入判断字段数查表名查字段二、Medium别二、High别总结一些初学疑问为什么要加个单引号’,闭合到底是怎么用? 前言   在开始之前,先说一下我对SQL注入的原理的一些理解: SQL注入   是在输入的字符串注入了SQL指令,在设计不良的程序当忽略了检查,那么这些注入进去的指令就会被数据库服务器误认为是正常的SQL指令而执行,因此遭到数据泄漏或者数据的破坏。   攻击者可以从数据库获取敏感数据,造成大量敏感信息泄露;修改数据库内容,
DVWA靶机-暴力破解(Brute Force)
weixin_43726831的博客
10-11 2860
DVWA靶机-暴力破解 1.DVWA靶机的4个安全等级 DVWA Security分为四个等,low,medium,high,impossible,不同的安全等级对应了不同的漏洞等。 1.low-最低安全等级,无任何安全措施,通过简单毫无安全性的编码展示了安全漏洞。 2.medium-安全等级,有安全措施的保护,但是安全性并不强。 3.high-高等安全等级,有安全措施保护,是安全等级...
DVWA文渗透教程和渗透环境,最强大没有之一
11-26
3. **DVWA安全等级** DVWA划分了多个安全级别,从"低"到"高",每个别代表不同的安全强度。这使得用户可以根据自身技能水平逐步升挑战,逐步提高安全意识和技能。 4. **PHPStudy** PHPStudy是一个集成的PHP...
DVWA靶场搭建与使用
09-02
在每个安全等级下,都有相应的提示和解决方案,通过解决这些问题,你可以深入了解Web应用安全,并提高你的安全意识和技能。 **六、学习资源与实践** 除了实际操作DVWA靶场,还可以参考相关的教程、文章和视频,加深...
web安全dvwa.rar
08-04
dvwa用于初学者sql注入的靶场练习环境。下载后解压到phpstudy_pro/www/下,然后本地(localhost)访问,dvwa有Low/Medium/Hight/Inpossible四个等,分别对应不同的别,初学者建议使用Low别。
PHP及DVWA文件包
07-28
它的核心功能是模拟真实世界的安全问题,如SQL注入、跨站脚本(XSS)、文件包含漏洞、命令注入等。DVWA的登陆信息已经给出,用户`root`,密码`123456`,可以直接访问并开始安全测试。 在使用DVWA时,你可以通过...
2021-08-04
qq_36303446的博客
08-04 178
DVWA-Brute Force 暴力破解Security-LowSecurity-MediumSecurity-Highnotice四种攻击方式: 登进去DVWA的原始账号密码是 admin;password。 刚开始的时候,有个cookie的问题不了security的等:抓包的时候有两个 security,一个impossible,一个low; 1.首先你要把浏览器的cookie清除; 2.退出DVWA,重开浏览器; 3.浏览器的URL:http://127.0.0.1/DVWA访问就行; 4.重
完成dvwassql注入模块的练习
S_cx666的博客
12-22 1021
完成dvwassql注入模块的练习
"You have an error in your SQL syntax; check the manual that corresponds to your MySQL server versio
热门推荐
BFELFISH的博客
06-04 1万+
数据库进行操作时出错,百度了n多个解决方法后,看到有个是把关键字当表名了,我就尝试在MySQL建立查询,发现后面怎么都出错,然后,将order重命名为orders后,再查询,过了。后了解到是因为order是关键字 如果是别的出现这个错误,但是没有用order的,可以考虑是不是sql写错了,可以先在数据库建立查询测试一下。 百度了这么多,总结主要解决方法 1.SQL语句写错 先...
DVWA1.9 如何更安全级别
weixin_44092573的博客
02-07 1936
点击DVWA security 依次点击,选择
DVWA进行sql注入
weixin_44901204的博客
08-23 415
1.判断是否有注入漏洞 打开DVWA,在SQL注入输入1,返回正常。 输入1’,报错,返回 You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ‘‘1’’’ at line 1...
修复数据库的 “Access Denied: SUPER Privilege Required” 错误
最新发布
xiaochong0302的博客
08-26 1419
当您使用数据库时,您可能会看到错误消息:“Access denied; you need (at least one of) the SUPER privilege(s) for this operation”。当您的数据库用户没有足够的权限来执行某些操作时,就会发生这种情况。
DVWAsql注入
07-10
SQL注入是指攻击者通过精心构造的SQL查询字符串,将恶意代码插入到网站的SQL查询,意图欺骗数据库管理系统执行非授权操作,如读取、修改或删除数据。 在DVWA的SQL Injection部分,用户通常需要提交一些输入数据,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值