Web常见漏洞分析
文章平均质量分 94
Web常见漏洞分析
1stPeak
天行健,君子以自强不息;地势坤,君子以厚德载物。
展开
-
常见SQL注入类型及原理
SQL注入Mysql基础1、Mysql安装这里我们直接使用phpstudy集成环境中的mysql2、Mysql常用命令(1)mysql本地连接mysql -h localhost -uroot –proot参数 说明-h 表示数据库连接地址,连接本机可不填,直接mysql -uroot -p-u 表示要登录的用户-p 表示使用密码登录默认账/密:root/root注:登录mysql时,-p后面不能有空格加密码,但-p空格,后面不加值是原创 2021-05-31 16:42:18 · 5635 阅读 · 1 评论 -
文件上传常见绕过分析
一、文件上传校验1、客户端校验(javascript校验)(1)判断方法:点击上传会会直接显示是否可以上传,并且burp无法抓到POST的包(2)绕过方法:① 禁用JS② F12修改③ 抓包改包(上传允许上传的后缀,然后修改包)2、服务器端校验(Content-Type检验)注:就是判断MIME类型(1)判断方法:上传文件时,提示该后缀无法上传,且burp可以抓到POST包(2)绕过方法:①上传不允许的后缀文件时,抓包修改MIME类型(如果文件名可解析则不需用改,不能解析,则需要改原创 2020-06-08 13:35:56 · 1329 阅读 · 0 评论 -
SQL必知基础
SQL基础知识1、sql语句对大小写不敏感例:2、select语句select语法select 列名称 from 表名称或select * from 表名称(这表示查询表中的全部列)例:从security数据库的users表中获取名为id的列的内容select id from users;注:3、where语句where语法SELECT 列名称 FROM 表名称 WHERE 列 运算符 值例:查询users表中列名为id的所有内容,且username为admins原创 2020-05-30 20:12:03 · 410 阅读 · 0 评论 -
基于约束的SQL攻击
基于约束的SQL攻击原理:没有将字段设置为唯一字段,导致可以利用mysql会略去空格(前提:空格后面没有字符)这一特性,查询或插入敏感信息先创建一个user表,定义三个字段(id、username、password)CREATE TABLE user(id INT NOT NULL auto_increment,username VARCHAR(30) NOT NULL,password VARCHAR(30) NOT NULL,PRIMARY KEY(id));id:int型,非空,自动原创 2020-05-29 20:40:04 · 399 阅读 · 0 评论