何学习网络安全?手把手带你跟着B站一起学——前一阶段学习答疑解惑

最新推荐文章于 2023-05-28 18:40:34 发布
最新推荐文章于 2023-05-28 18:40:34 发布
阅读量214 收藏 2
点赞数
分类专栏: 网络安全 笔记 文章标签: web 渗透测试 网络安全 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45430571/article/details/119712212
版权

如何学习网络安全?手把手带你跟着B站一起学——前一阶段学习答疑解惑

前言

网络安全的学习也有一段时间了,但是很多同学都私信我说学是学会了,但是在sqli的靶场上还是不能独立闯关,这是为什么呢?于是这篇先给大家解决一些疑惑。

这里不谈学习路线,不说学习方法,只是记录本人在学习过程中的笔记与心得体会。

B站学习网址: 黑客攻防技术学习路线-网络安全渗透测试教程全解析 ——P18

上节课学习到了:何学习网络安全?手把手带你跟着B站一起学——第五节:GET,POST,Cookie注入

回显机制

从回显机制上区分:

  1. 有回显型(我们之前说的显错注入就是有回显型):开发人员没有关闭错误回显
  2. 无回显型(也就是我们说的盲注):我们看不见错误回显,但是看不见不代表不存在

闭合

闭合的目的

闭合的目的是为了保证我们输入的数据能够被当做SQL语句去正常执行

闭合的分类

  1. 整型
  2. 字符型
    就是传参点变量会被包裹在单引号,双引号等中(包括’,",),’),"),"))等等)
$sql="SELECT * FROM users WHERE id=$id LIMIT 0,1";	#整型
$sql="SELECT * FROM users WHERE id='$id' LIMIT 0,1";	#第一种字符型
$sql="SELECT * FROM users WHERE id='($id)' LIMIT 0,1";	#第二种字符型
$sql="SELECT * FROM users WHERE id="($id)" LIMIT 0,1";	#第三种字符型

闭合演示:
	http://192.168.43.135/sqli/Less-1/?id=1 and 1=1
	$sql="SELECT * FROM users WHERE id=1 and 1=1 LIMIT 0,1";	#整型
	
	http://192.168.43.135/sqli/Less-1/?id=1' and 1=1 --+
	$sql="SELECT * FROM users WHERE id='1' and 1=1 --+' LIMIT 0,1";	#第一种字符型

	同理可得:
	http://192.168.43.135/sqli/Less-1/?id=1)' and 1=1 --+
	$sql="SELECT * FROM users WHERE id='(1)' and 1=1 --+)' LIMIT 0,1";	#第二种字符型

没有被当做SQL语句去执行

  1. 被当做了字符串,也就是前面是字符型闭合,你没有闭合到位,所以被当做了字符串处理了
  2. 被过滤

一种方便快捷的调试方法

你在调试阶段判断闭合类型时,可以采用延时测试的方法
例如:http://192.168.43.135/sqli/Less-1/?id=2' and if(1=1,sleep(5),null) --+
如果是我们猜的闭合是不正确的,他马上就返回了,没有执行后面的延迟
如果我们猜测的闭合是正确的,他会延迟5秒返回

总结

先看回显机制,如果人家关闭的回显机制那就是盲注了,目前暂时不细说,人家没关闭判断闭合类型就很重要了,我们可以利用上述延时测试的调试方法,快速地判断闭合类型,然后用联合查询确定显错位,如果没有出现显错位也可能是盲注,所以说任重而道远,同志仍需努力!(如果此节跟不上请关注我的博客,重温前面几节,朋友们反馈一节一节跟上来的都会了哦~)

YuZou 邹宇
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
浙大区块链协会2021春纳启动
weixin_37097665的博客
03-12 543
你已选中了添加链接的内容互联网发展至今,极大地改变和方便了我们的生活。短短十数年间,我们就习惯了网购、社交网络、团购、共享经济和自媒体。互联网发展迅速,但也出现了一些问题。霸王条款横行、数...
222-手把手你写一个MiniSpring
05-06
"222-手把手你写一个MiniSpring"这个主题,旨在通过实践教的方式,让你了解并掌握Spring框架的基本原理,从而能够自己动手实现一个简化版的Spring框架——MiniSpring。 【描述】"222-手把手你写一个Mini...
如何学习网络安全手把手跟着B站一起——网络安全渗透测试篇(第二节)
qq_45430571的博客
08-05 393
如何学习网络安全手把手跟着B站一起——网络安全渗透测试篇(第二节)言怎么收集真实IP1、多地ping为什么要做多地ping?科普小知识:什么是CDN2、域名解析记录3、子域名 言 为什么要学习网络安全? 首先,为什么要学习网络安全呢?在这个互联网主宰的世界里,信息无处不在,数据决定一切!你不能保证自己的安全无疑是在网络上脱光衣服裸奔!你可以把自己的安全交给别人,但是不能把自己的命运把握在别人手里! 什么时候开始学习网络安全? 应该来说是一种顺其自然的过程。网络安全是一门大类科,要的东西很多
B站最火最热的网络入门安全教材资料。无偿分享,点进白拿,叫我活雷锋!
Appleteachers的博客
04-20 304
先介绍下网络安全网络安全指对网络攻击、侵入、干扰、破坏和非法使用以及意外事故的必要防范,使网络和信息系统处于稳定、安全、可靠的运行状态,以及保障信息数据的完整性、保密性、可用性。随着国内信息安全政策法规持续完善优化,网络安全市场规范性逐步提升,政府及企业客户在产品和服务上的投入稳步增长,国内网络安全市场规模不断扩大。数据显示,2018年国内网络安全市场整体规模达到495.2亿元。随着数字经济的发展,网络安全作为必要保障,其投入将持续增加。预计2021年网络安全人才缺口达200万之巨而市场规模将达到926
SQL注入之联合查询
weixin_51909453的博客
12-24 443
SQL注入之联合查询 SQL注入简介 SQL注入是网站存在最多也是比较简单的漏洞,主要原因是程序对用户输入的字符串没有进行过滤或处理不严谨,导致用户可以通过精心构造语句来非法获取数据库中的信息,SQL注入的首次公开讨论始于1998年左右,至今已有20多年的历史,被冠以漏洞之王的称号。 sql注入原理 sql语言即是结构化查询语言,通俗来讲就是操作数据库的语言,这些语句可以对数据库进行增、删、改、查等操作。 注入在这里即是将用户输入的数据拼接到原始代码中,从而使得被注入的数据被当做代码执行 sql注入的核心:
sql get显错注入的靶场练习思路
weixin_60777183的博客
08-21 231
第一题: 1.判断是否存在SQL注入漏洞 方法一:在传参(?id=)后面添加2-1,查看页面是否跟id=1一样,一样,说明被当做代码执行,存在注入漏洞。 方法二:id=1 and sleep(5),看是否休眠5秒,有,说明被当做代码执行,存在注入漏洞。 方法三:?id=1 and 1=2,看页面是否正常,不正常,说明被当做代码执行,存在注入漏洞。 2.利用order by判断字段数 ?id=1 order by 1 页面正常 ?id=1 order by 2 页面正常 ?id=1 order by 3 页面
人工智能本科专业高校名单大全(440所)
AI蜗牛车
05-31 958
Datawhale干货编辑:机器之心、Datawhale文章有点长,目录预览:清华大刘知远教授答疑各大开设人工智能的院校在计算机专业和人工智能日益火爆的当下,很多人对这两个专业又是好奇又是憧憬。对此,清华大刘知远教授近日在知乎上分享了一些内容,以帮助考生更加理性地选择专业,希望更多真正喜欢 CS/AI 的考生选好校选对专业。刘知远教授从人工智能是什么、什么、怎...
深入浅出完整解析Stable Diffusion(SD)核心基础知识
欢迎大家关注我
05-28 5738
深入浅出完整解析Stable Diffusion(SD)核心基础知识(全网最详细讲解),从0到1快速入门AIGC领域,快速上手AI绘画核心模型—Stable Diffusion!
应该成为一名系统工程师么?
weixin_33725239的博客
10-28 152
题外话从家长到老师、从生到职场精英,每个人都在说中国是应试教育,不是素质教育;中国是发展中国家,没有职业市场,一个人能成就什么,靠的是运气、胆量而不是技能、创造力。是这样么?历史有惊人的相似性,一句最具代表性的名言是:这个世界最不可思议的事情是它能够被人理解。同样的事情,在世界上的发达国家、在地球的其他角落,曾经发生或者正在发生,也可能即将发生。作为一名中国人,非常骄傲于中...
论文读不懂怎么办?
玉树芝兰
11-05 1万+
王树义读完需要18分钟速读仅需6分钟悄悄告诉你几个窍门。1 痛苦做科研,不能不读论文。但是,我见过不少研究生,论文都读得愁眉苦脸的。这其中,自然有因为拖延的关系。例如教授布置了2周后讨论论文,你原本可以每天抽出时间,慢慢消化。可你非得拖到截止日期的一天晚上才打开看,希望毕其功于一役……这显然是态度问题。但是,不可忽略的,有些同,却真的不是态度问题,而是方法不当。他们喜欢跟论文死磕。读不懂,...
【代码分享】手把手教你:基于深度学习的滚动轴承故障诊断
09-18
通过这个项目,你不仅可以学习到如何应用深度学习解决实际问题,还能掌握处理时间序列数据、构建和训练CNN模型、以及模型部署和评估的基本流程。这对于进一步研究其他工业设备故障诊断或任何基于信号处理的问题都将...
手把手教你学习Centos Linux-视频教程网盘链接提取码下载.txt
最新发布
10-20
这门课程由一位经验丰富的讲师手把手教你学习CentOS Linux操作系统。通过系统化的教,你将会CentOS的安装、配置和管理技巧,掌握命令行操作以及常见应用的部署与优化。无论你是初者还是有一定Linux基础的人,...
深度学习——手把手教你安装Anaconda开发环境.rar
04-28
本教程《深度学习——手把手教你安装Anaconda开发环境》将指导你轻松完成安装过程,让你快速步入深度学习的世界。首先,你需要访问Anaconda的官方网站,下载适用于你操作系统的最新版本。Windows、Mac OS和Linux用户...
手把手教你学习接口测试[视频课程].txt打包整理.zip
03-07
在这个"手把手教你学习接口测试[视频课程].txt打包整理.zip"压缩包中,很可能包含了一套完整的接口测试学习资料,旨在帮助用户从零开始掌握接口测试的基础和高级技巧。 接口测试的核心目标是检查系统组件间的通信,...
ESP8266 NodeMCU开发板连接手机热点问题
热门推荐
qq_45430571的博客
03-28 3万+
ESP8266 NodeMCU开发板连接手机热点问题 言: 众所周知,esp是构建一个IOT工程里得力助手之一,通俗点来说就是:“WIFI模块” 不过下面要讲的是esp8266中的NodeMCU开发板,其功能可不止是简单的WiFi模块那样。 这里我看的课程是太极创客团队制作的视频,对于基础小白来说是非常友好,大家有兴趣的同可以着去,以下为B站连接:【ESP8266教程】零基础入门用物联网-基础知识篇(太极创客团队) 言归正传,这篇博客讲的将不是技术,不是介绍,而是本人在实际操作NodeMCU开发板时
简单明了操作——ESP8266 NodeMCU驱动TFT LCD液晶屏(制作透明小电视奏)
qq_45430571的博客
03-30 2万+
简单明了操作——ESP8266 NodeMCU驱动TFT LCD液晶屏(制作透明小电视奏)言准备材料esp8266 NodeMCU(串口WiFi模块)1.44inch SPI Arduino Module Black SKU:MAR1442(TFT液晶显示屏)接线烧录程序工作流程后记参考资料 几天在B站看到了透明小电视,顿时就被吸引了过去,除去3D打印,电焊线路,分光棱镜啥的,简单来说其涉及到的也无非就这三样东西: esp8266 显示屏 显示的内容(复杂点的可写后端) 于是这两天就把玩
鸿蒙开发工具——DevEco Studio
qq_45430571的博客
01-23 9341
鸿蒙开发工具——DevEco Studio DecEco Studio 是HarmonyOS的配套开发IDE,因为HarmonyOS是基于OpenHarmony开发的,因此DecEco Studio(配套HarmonyOS)也可以进行OpenHarmony的应用开发。
OpenHarmony ≠ HarmonyOS
qq_45430571的博客
01-22 8885
OpenHarmony ≠ HarmonyOS 先让我们来看看官方的表述: 这里我说一下我的理解, HarmonyOS: 一套操作系统满足多个设备需求; 各系统在系统层面一致,可互动,可共享; 一次开发,多个设备都可以部署。 OpenHarmony: 只拥有HarmonyOS的基础能力; 开源项目,共商、共建、共享、共赢。 简单来说就是OpenHarmony可以说是HarmonyOS的基础,HarmonyOS是OpenHarmony的包装。 而且,其HarmonyOS主要支持Java和Js
机器学习实战:网络安全新篇章
"《手把手教你机器学习网络安全中的实践》是一本深度探讨机器学习网络安全结合的实用教材,旨在引导读者理解如何将这一强大的工具应用于日益复杂的网络防御环境中。本书首先概述了机器学习的基本概念,包括它是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YuZou 邹宇

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值