何学习网络安全?手把手带你跟着B站一起学——第五节:GET,POST,Cookie注入

最新推荐文章于 2023-09-11 23:34:16 发布
最新推荐文章于 2023-09-11 23:34:16 发布
阅读量416 收藏 3
点赞数 1
分类专栏: 网络安全 笔记 文章标签: 渗透测试 网络安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45430571/article/details/119696988
版权
本文介绍了网络安全学习的重要性,特别是GET、POST和Cookie注入的概念。BURP作为一款代理工具,用于拦截和修改客户端到服务器的数据。通过BURP,可以观察并操作HTTP请求,进行安全测试。同时,文中提到了注入的三种常见类型,并简述了GET注入的工作原理。虽然POST和Cookie注入未详细展开,但提供了进一步学习的资源。
摘要由CSDN通过智能技术生成

如何学习网络安全?手把手带你跟着B站一起学——第五节:GET,POST,Cookie注入

前言

  • 为什么要学习网络安全?
    首先,为什么要学习网络安全呢?在这个互联网主宰的世界里,信息无处不在,数据决定一切!你不能保证自己的安全无疑是在网络上脱光衣服裸奔!你可以把自己的安全交给别人,但是不能把自己的命运把握在别人手里!
  • 什么时候开始学习网络安全?
    应该来说是一种顺其自然的过程。网络安全是一门大类学科,要学的东西很多,先学好计算机基础知识,计算机网络基础知识,再来是学习一些基础语言,基础语法,会些基础运用,不用都很懂,循序渐进,顺其自然。

这里不谈学习路线,不说学习方法,只是记录本人在学习过程中的笔记与心得体会。

B站学习网址: 黑客攻防技术学习路线-网络安全渗透测试教程全解析 ——P17

上节课学习到了:如何学习网络安全?手把手带你跟着B站一起学——第四节:显错注入

GET,POST,Cookie注入

BURP

  • 什么是BURP?为什么用BURP?

我们从客户端去访问到服务器端的时候,都是直来直去的

如图所示:
在这里插入图片描述

如果对方是用GET类型的传参方式的时候我们可以在URL栏看到我们对服务器传过去的一些东西的

但是用其他方式传参的时候例如POST,PUT等,我们是不能直接看到我们传过去的东西的,这时候就需要一些工具来让我们看到了

什么工具呢?就是我们要讲到的BURP

当我们装上BURP的时候,不管我们在客户端给服务器发送什么样的数据,都会优先经过BURP,我们这边可以在BURP里对其做一些不可告人的操作,然后再把它发送出去给服务器。(简单来说就是在服务器和客户端中间加了一个中介,你可以通过中介了解到服务器的相关信息,也可以利用中介传递信息给服务器,服务器再通过中介把数据传递回来)

如图所示:
在这里插入图片描述

关于BURP的安装

这里不过多讲解,你可以选择跟着教程走,或者自行百度搜索

关于BURP的使用

这里暂时不是重点,也不过多讲解,你可以选择跟着教程走,或者自行百度搜索

注入

注入的种类主要有代码注入和命令注入

下面我们主要介绍一下这三种常见的注入方式:GET注入,POST注入,Cookie注入

  • GET注入:简单来说就是直接在URL栏进行SQL语句代码注入操作,我们上一节已经接触过了
  • POST注入:
    和GET注入一样,只不过注入点不同,但是同样是SQL语句代码注入,我们以Less-11为例:
    在这里插入图片描述
    在这里插入图片描述
  • Cookie注入:B站上这个教程暂时漏讲了,我在网上搜了一些资料,大家可以先参考这个:SQLlib-第20关之cookie注入,等我有时间再来完善这一部分。

总结

简单来说,注入原理都是大同小异,关键在于你去学习,你去发现,你去尝试。

YuZou 邹宇
关注
专栏目录
爬虫学习(3):两万字零基础爬虫requests初阶教程,手把手教你爬数据
全栈川川
10-13 3万+
文章目录一、环境与工具二、爬虫必备知识三、requests体验四、get 请求3.1 基础讲解一3.3 基础讲解二3.2 基础讲解三3.4 获取cookie3.5 获取请求头3.6 添加请求头3.5 知乎爬取+反扒技术3.6 抓取二进制数据3.6.1 示例一3.6.2 示例二3.7 美女私房照爬取( 准备发车)四、 POST 请求4.1 数据表单提交4.2 添加请求头4.3 提交json4.4 普通文件上传五、总结 一、环境与工具 环境:jupyter 如果你没有安装该工具和不会使用,请看这一篇文章:py
11步打造坚不可摧的Nginx:从入门到实战的网络安全指南
最新发布
java专栏
09-08 1046
首先,让我们来认识一下我们的主角——Nginx。Nginx,听起来就像是“Engine X”,仿佛是某种超级引擎,而它确实也是!🚀 Nginx是一个开源的、高性能的Web服务器和反向代理服务器,它能够处理成千上万的并发连接,而且还能作为邮件代理服务器和负载均衡器。简而言之,Nginx就是一个多才多艺的网络超人!接下来,我会详细介绍一些重要的配置项,这些就像是我们“食谱”中的关键食材。:这定义了Nginx的工作进程数。通常,你可以设置为CPU核心数。:每个工作进程可以打开的最大连接数。sendfile。
网络安全从入门到精通(第四章-2)GET&POST&HEAD注入
weixin_43643758的博客
03-29 534
本文内容: GET注入 POST注入 Head注入 sqlmap工具注入 get&post为显错注入: head为报错注入: 1,GET注入:   get注入属于显错注入。     1.判断注入点:       最古老的的方法是:         http://www.xxx.com/new.php?id=1 and 1=1 页面显示正常。         http:...
经典的注入语句
数据库天地
10-04 162
经典的注入语句 注意:对于普通的get注入,如果是字符型,前加' 后加 and ''=' 拆半法 ###################################### and exists (select * from MSysAccessObjects) 这个是判断是不是ACC数据库,MSysAccessObjects是ACCESS的默认表。 and exists (s...
SQL 注入漏洞(十二)Cookie注入
不秃头的程序Yang
06-21 846
二、代码分析 1、检测注入点 2、获取敏感信息
python 实现 短信登录 b站 并打印cookie内容
Love丶伊卡洛斯
02-20 889
本程序是项目的一个子程序,用于大批量获取用户数据时的cookie替换。
SQL注入之GET型
qq_51393133的博客
09-11 1261
每个数据库都有一个"table_schema"字段,存放的是该数据库的名字。一个数据库有很多表,每个表都有"table_name"字段,存放的是各个表的名字。
手把手教你用Python轻松玩转SQL注入——渗透利器
pyjishu的博客
03-25 2270
前言 大家好,我是黄伟。相信大家经常有听到过SQL注入啥的,但是并不是特别了解;小编以前就是经常听别人说,但是自己啥都不懂,直到后来看了相关教材后才明白,原来是这么个东西,那么到底是什么东西了,又或者是不是个东西了?我们接着往下看。 一、浅谈SQL注入 SQL注入其实就是把SQL命令插入到WEB表单中提交或者输入一些页面请求的查询字符串,比如我们输网址,就是相当于这种操作,只不过我们不是在测试SQL注入漏洞,而仅仅只是为了输入后看到相应网页上的内容而已。一般方法有,如:猜数据表名,其次就是绕过后.
阿里软件测试工程师手把手——做接口测试必备的网络基础知识
m0_60945327的博客
12-17 866
​面试时,无论是面试功能测试、自动化测试、测试开发甚至性能测试,都会问你计算机网络的基础知识。今天主要介绍一些高频的网络基础知识面试题。
按键精灵post请求_手把手教你使用按键精灵post登陆网页
weixin_39759107的博客
12-19 3219
最近很多朋友问我post的相关使用,这里我就简单的聊一聊.整个操作,很无脑。只要你够勤快,你不会,你可以来咬我。准备工具:WPE和IE浏览器,WPE是一个比较不和谐的东西,我就不上传了,想的人自己百度去下载一个,注意360要添加白名单。你有什么好的拦截数据工具,你可以用你自己觉得习惯的东西,这里我们选择用WPE,各种复杂的工具很多,不过WPE直接让send与recv函数呈现数据那么直观。如果你...
get、postCookie
weixin_43869705的博客
02-21 539
get和post区别 get请求 get提交的数据会放在URL之后,以?分割URL和传输数据,参数之间以&相连 get方式明文传递,数量小,不安全 效率高,浏览器默认请求方式为GET请求 对应的Servlet的方法是doGet post请求 post方法是把提交的数据放在HTTP的Body中 密文传递数据,数据量大,安全 效率相对没有GET高 对应的Servlet的方法是doPost Cookie的使用 Cookie是在浏览器访问服务器某个资源时,由web服务器在HTTP响应消息头中附
web安全-Sql提交方式(get/post/cookie)的注入
Coisini的博客
05-31 1450
提交方式 get post cookie 等 get方式 get方式比较常见 例如:http://kjj.stbjn.gov.cn/show.asp?id=6295(rul地址) 前几篇已经演示了get方式的注入如:Access与Mssql注入所以就不再演示了 - post方式 post提交方式主要适用于表单的提交 用于登录框的注入 例如:http://www.bjzhuoda.com...
GPC(GET、POSTCOOKIE)传参示例
qq_46567150的博客
09-27 2595
1.GET传参 $_GET 数组的说明: $_GET 是一个预定义数组。 作用域是超全局,脚本的任何地方都可以使用。 接收从浏览器客户端用户GET方式(URL 中)传递到服务器的参数。 GET 传参的参数名username做$_GET数组的key,参数值AJEST作为数组的value。 GET 传参时,直接将参数拼接到URL中即可。 首先在服务器创建一个php文件,内容如下: <?php // get.php var_dump($_GET); //输出$.
sql注入之GET/POST注入
qq_38135094的博客
04-02 1万+
针对不同数据库,语句有所不同,但是思路大致相同 第一步判断网站是否存在注入, 如 www.xxx.com/news.php?id=10 这个网址,使用and 1=1,and 1=2 判断是否存在注入 还需要判断数据库类型,在网址后面加上单引号,看报错情况,如果显示Microsoft JET Database错误,则是Access数据库,如果显示ODBC类型,则是MSSQL数据库 另
get post注入原理
weixin_30360497的博客
05-08 534
一般的http请求不外乎 get 和 post两种,如果过滤掉所有post或者get请求中的参数信息中的非法字符,那么也就实现了防SQL注入。 首先定义请求中不能包含如下字符: '|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare 各个字符用"|"隔开,然后再判断R...
sqlmap之POST注入cookie注入
热门推荐
ve9etable的博客
10-28 2万+
零、POST注入 POST和GET POST和GET是HTTP的两种请求方法,并且是两种最常用的请求方法 GET一般指向指定资源请求数据,而POST则是要向指定资源提交需要被处理的数据 查询字符串是在 GET 请求的 URL 中发送的,类似于这样 而POST查询字符串是在 请求的 HTTP 消息主体中发送的,类似于这样 ...
关于sql注入cookie注入
whatday的专栏
12-05 7550
小知识:所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。比如先前的很多影视网站泄露VIP会员密码大多就是通过W
(14)web安全|渗透测试|网络安全 原理和靶场结合进行参数类型分析,POSTCOOKIE注入详细图解过程
02-23 1475
原理资料和sqlilabs靶场相结合一步一步详细图解过程,适合新手上路
利用cookie实现b站免账号密码登录
The Home Of Salt Fish
06-17 1万+
document.cookie ="SESSDATA=49d4147c%2C8957247677%2Cf295e641;domain=.bilibili.com;path=/"; 在一个没有保存b站cooki信息的网站上访问b站,然后f12打开控制台 将之前登录的cookie信息中对应的字段替换上面的对应的部分然后输入,回车刷新浏览器后即可生效 ...
机器学习实战:网络安全新篇章
"《手把手教你机器学习网络安全中的实践》是一本深度探讨机器学习网络安全结合的实用教材,旨在引导读者理解如何将这一强大的工具应用于日益复杂的网络防御环境中。本书首先概述了机器学习的基本概念,包括它是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YuZou 邹宇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值