网络安全
皮卡皮卡皮Rex_
让努力把一切变得更好
展开
-
SQL注入原理和手动注入
在owasp年度top10安全问题中,注入高居榜首SQL注入攻击指的是通过构建特殊的输入作为参数传入web应用程序,而这些输入大都是SQL语法里面的一些组合,通过执行SQL语句而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据入侵系统。(1)对于web应用程序而言,用户核心数据存储在数据库中,例如MySQL,SQL,Oracle;(2)通过SQL注入攻击,可以获取,修改,删除数据库信息,并且通过提权来控制web服务器等其他操作。(3)SQL注入即攻击者通过构造特殊的S.原创 2020-12-31 14:10:45 · 712 阅读 · 0 评论 -
文件包含漏洞
文件包含:程序开发人员通常会把可重复使用的函数写到单个文件,在使用某些函数时,直接调用此文件,这种调用过程叫做文件包含。文件包含漏洞:开发人员为了让代码的书写变得更加灵活,通常把被包含的文件设置为变量,用来动态调用,但如果用户对这个变量可控而且服务器端又没有对动态调用的文件进行足够的监测,或者校验被绕过就造成了文件包含漏洞。PHP中常见的文件包含函数:(1)include() :使用该函数包含文件,只有当代码执行到include()时,文件才会被包含进来,如果被包含的代码出错,系统会给一个警告,然后继原创 2020-12-24 21:33:32 · 309 阅读 · 0 评论 -
文件上传漏洞
实验环境:OWASP Broken web Apps VM v1.2 靶机kali-linux-2020.4-vmware-amd64 攻击机caidao-2014.12.13 网站管理软件实验原理:(1)文件上传(File Upload)是大部分web应用都具备的功能,例如用户上传附件、修改头像、分享图片/视频等。(2)正常的文件一般是文档、图片、视频等,Web应用收集之后放入后台存储,需要的时候再调用出来返回。(3)如果恶意文件如php、ASP等执行文件绕过web应用,并顺利执行,则相当于原创 2020-12-22 11:57:27 · 317 阅读 · 0 评论 -
owasp靶机和kali攻击机的安装
【实验环境】:目标靶机:OWASP测试渗透机/攻击机:kali-linuxOWASP的安装:地址:https://sourceforge.net/projects/owaspbwa/files/1.2/OWASP_Broken_Web_Apps_VM_1.2.zip/download原创 2020-12-19 20:04:29 · 3506 阅读 · 8 评论