![](https://img-blog.csdnimg.cn/20201014180756724.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全
苏小酱
这个作者很懒,什么都没留下…
展开
-
初探SQL注入--安全
Sql注入1、测试交互方法,判断浏览器提交数据和web服务器的交互方式get 提交 提交的数据在url中显示post 提交 没有在url中显示2、判断提交变量的数据类型 + 整型 id = 1 and 1=2 //让提交数据为False(假) 有交互数据显示则为整型,否则为str + 字符型 id = 1 and 1=2 无交互显示,则进一步判断闭合方式 常见的闭合方法 ‘’,“ ”,( ...原创 2019-03-14 20:26:12 · 1777 阅读 · 0 评论 -
SQL注入--安全(二)
写在前面:在前两天初学SQL注入的基础上,继续在Metasploitable-Linux环境下进行练习。前面学习的SQL注入,那么当然就有防注入。由于web注入危害较大,各种防御技术也层出不穷。1、程序猿在写代码时会有意识的进行防御设置,或者安全测试来封堵web注入2、各大安全厂商生产的硬件或者软件WAF产品黑名单过滤技术1、过滤sql关键字段常见的关键字:and、or、union a...原创 2019-03-25 23:56:50 · 7618 阅读 · 5 评论 -
XSS简单理解--安全(三)
XSS,跨站脚本攻击通常指黑客通过HTML注入(控制输入变量)篡改网页,插入恶意脚本防御手段:在输入时过滤某些语句(黑名单/白名单技术)构造的URL如下:http://192.168.122.130/DVWA-1.9/vulnerabilities/xss_r/?name=<script>document.location = 'http://172.16.20.116:808...原创 2019-03-26 19:26:03 · 496 阅读 · 0 评论 -
Google hacking
如何使用Google hacking原创 2019-04-11 22:57:41 · 3282 阅读 · 0 评论 -
信息收集及漏洞利用--安全(四)
信息收集收集目标web服务器的网络信息、系统信息、组织信息网络信息 包括:域名、TCP/UDP的端口、网络协议、防火墙、访问控制策略等系统信息 包括:系统标识、站点目录、系统架构、路由表、测试/临时文件组织信息 包括:员工信息、邮箱/电话、公司地址、组织网站、组织背景等whois信息收集注册人、电话、邮箱、dns、地址等whois 信息 whois.chinaz.com , wwww...原创 2019-04-03 17:30:47 · 2859 阅读 · 3 评论