- 博客(15)
- 收藏
- 关注
RSS订阅原创 Linux 部署Pikachu靶场
安装httpd及其相关的组件安装php及其相关组件安装mariadb数据库启动服务并设置自启动打开防火墙数据库初始化设置测试环境是否安装成功在浏览器中使用ip进行访问出现该页面表示安装成功。
2025-06-28 10:20:46
299
原创 SQL注入之报错注入
报错注入的原理基于应用程序在处理数据库查询时产生的错误信息。当应用程序执行一个含有恶意SQL代码的查询时,如果查询出错(例如,由于语法错误或权限不足),数据库系统通常会返回一个错误信息给应用程序。这个错误信息可能会包含有关数据库结构的敏感信息,如数据库名称、表名、列名等。攻击者可以利用这些信息来进一步构建更复杂的SQL注入攻击,以获取更多的数据库内容。
2025-06-28 10:19:48
964
原创 SQL注入之联合查询注入
联合查询注入是一种常见的SQL注入攻击手法,其核心原理是利用SQL中的UNION操作符将多个SELECT语句的结果集合并,从而返回一个统一的结果集。在使用UNION时,必须确保前后两个查询的列数相同,且对应列的数据类型兼容。攻击者通过构造恶意查询,将数据库中的敏感信息(如数据库名称、表名、列名等)与正常查询结果一并输出,从而窃取关键数据。这种攻击方式通常用于探测数据库结构并获取未经授权的信息。
2025-06-28 10:18:56
330
原创 SQL注入之布尔盲注
布尔盲注是一种基于布尔逻辑的SQL注入攻击技术,其核心原理是通过构造特定的SQL查询语句,利用应用程序对查询结果的不同响应(通常是真或假)来逐步推断数据库中的信息。由于这种攻击方式不会直接返回数据库的具体内容,而是通过观察应用程序的响应行为(如页面内容的变化、HTTP状态码、响应时间等)来间接获取数据,因此被称为“盲注”。
2025-06-28 10:17:33
537
原创 如何在JMeter中配置断言,将非200状态码视为测试成功
在接口测试中,HTTP响应状态码是判断请求是否成功的重要依据。通常情况下,状态码200表示请求成功,而其他状态码则可能表示各种类型的错误。然而,在某些特定场景下,我们可能期望接收到非200的状态码,并将其视为测试成功的标志。例如,在进行API的负面测试时,我们可能希望验证系统在接收到无效请求时返回400(Bad Request)状态码。在JMeter中,通过配置断言,我们可以灵活地将非200状态码视为测试成功。本文将详细介绍如何在JMeter中配置断言,以实现这一目标。
2025-06-28 10:15:43
457
原创 SqlmapAPI:自动化SQL注入的利器
SqlmapAPI是基于sqlmap工具的API接口,它允许用户通过编程方式调用sqlmap的功能,实现自动化的SQL注入安全检测。在使用SqlmapAPI时,用户可以通过发送HTTP请求来与API进行交互。SqlmapAPI提供了丰富的API接口,包括创建新任务、设置扫描参数、开始扫描、获取扫描状态、读取扫描结果等。这些接口使得用户能够灵活地控制扫描过程,并实时获取扫描结果。
2025-06-28 10:14:23
421
原创 Centos7执行yum install命令失败及解决方案
原因是官方把地址改了,所以解决起来也很简单,直接把地址改成阿里云的。在CentOS 7系统中,yum是管理软件包的核心工具,当我们在。
2025-06-28 10:12:14
291
原创 离线安装MeterSphere
作者这里使用 MeterSphere 主要针对接口测试设计,提供完整的增删改查API、在线调试能力以及标准化的测试用例与报告生成,支持测试流程的全生命周期管理。
2025-06-27 22:32:29
385
原创 最新行政区划代码获取指南
然后再把没用的行和列删除掉,然后可以通过python脚本,替换成自己想要的格式。这个页面就是最新的行政区划代码。打开最新的行政区划代码数据。粘贴到Excel表格中。
2025-06-27 22:26:45
237
原创 JMeter 连接与配置 ClickHouse 数据库
该方法适用于通过 JMeter 实现与多种类型数据库的连接测试,操作过程中需借助 DBeaver 数据库管理工具进行辅助配置。
2025-06-27 22:20:21
381
原创 MeterSphere V2.x 添加数据库驱动
在使用 MeterSphere 进行接口测试时,会遇到一些接口场景,需要先查询数据库获取特定数据,再将查询结果作为请求参数传递给后续接口。然而,MeterSphere 默认仅支持 MySQL、Oracle、SQL Server 和 PostgreSQL 等常见数据库的查询操作。如果需要查询其他类型的数据库(例如 ClickHouse),则需通过编写脚本代码的方式来实现数据库连接与数据查询。以下将以 ClickHouse 数据库为例,详细介绍如何通过代码实现与其他类型数据库的连接与交互。
2025-06-27 22:11:49
470
原创 SQL注入之时间盲注
时间盲注技术的核心在于巧妙地运用数据库中的时间延迟函数(例如MySQL的SLEEP()函数或PostgreSQL的PG_SLEEP()函数)来验证注入条件的有效性。当注入条件成立时,数据库会执行这些延迟函数,从而导致页面响应时间显著增加;反之,若条件不成立,则不会产生延迟效果。这项技术之所以被称为“盲注”,原因在于它并不能直接将查询结果反馈到页面或接口返回值中,而是依赖于SQL语句执行所产生的时间延迟来间接推断数据内容。
2025-02-09 17:13:31
921
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人