[BT]小迪安全2023学习笔记(第28天:Web攻防-SQL提交方式注入)

最新推荐文章于 2024-06-30 20:13:54 发布
最新推荐文章于 2024-06-30 20:13:54 发布
阅读量275 收藏
点赞数 1
分类专栏: 小迪安全学习笔记 文章标签: 安全 学习 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46135022/article/details/139155072
版权

第28天

GET

POST

Cookie

Http头

网站有可能会处理Http头的一些信息,比如UA头、Host地址等,如果网站将这些内容与SQL数据库的内容进行对比(涉及数据库的操作),那么就跟普通GET参数值一样存 在漏洞(因为可以被构造)

如何通过看代码找到Http头处的注入点:
IP地址为例,有些网站会限制同一IP请求次数,原理就是记录用户的IP地址并存放在数据库中,每次用户请求时网站都会查询数据库并比对次数是否超过规定,如果超过了的话就会让提示访问过快

那么我们就可以通过修改类似X-For-Forward的值进行注入攻击,注入原理和普通注入是一样的,只是注入点换成了Http头处

接下来就是在网站代码中找到关于IP地址处理的函数(白盒测试),可以直接查找也可以按功能查找,然后根据网站对IP地址的判断处理进行漏洞分析,比如闭合网站查询IP的SQL语句,自己再加上联合查询等

Bluetuan_aaa
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
学习笔记-B/S - Exploits
人饭子的博客
11-02 2万+
B/S - Exploits 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 大纲 各类论坛/CMS框架 AEM 74CMS dedeCMS Discuz Discuz Discuz!ML Drupal ECshop Fastadmin Laravel jeecg jeewms Joomla Maccms MetIn...
渗透测试 ( 1 ) --- 相关术语、必备 工具、导航、全流程总结、入侵网站思路
freeking101的博客
07-02 1万+
学习某项技能的时,要用最快的时间摸索清楚最少必要知识 (MAKE)都有哪些? 然后迅速地掌握它们,这样就实现了 "快速入门",然后就可以开始动手实践,然后在实践中验证理论、加深理解,同时继续扩展学习。而学习黑客也是同样的道理,对于新手小白的第一课应该是以掌握基础的安全工具为主,这样在学习的同时可以进行实践,验证所学的知识,同时加以扩展,这样学习效率会大大提升.........................................................
p70 内网安全-域横向内网漫游 Socks 代理隧道技术(NPS、FRP、CFS 三层内网漫游)
weixin_43263566的博客
05-03 3219
内网安全-域横向内网漫游 Socks 代理隧道技术(NPS、FRP、CFS 三层内网漫游)
常见 Web 安全攻防总结
Z4400840的博客
05-22 968
Web 安全的对于 Web 从业人员来说是一个非常重要的课题,所以在这里总结一下 Web 相关的安全攻防知识,希望以后不要再踩雷,也希望对看到这篇文章的同学有所帮助。今这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法。也许你对所有的安全问题都有一定的认识,但最主要的还是在编码设计的过程中时刻绷紧安全那根弦,需要反复推敲每个实现细节,安全无小事。本文代码 Demo 都是基于 Node.js 讲解,其他服务端语言同样可以参考。
学习网络安全需要学习哪些知识?
Spontaneous_0的博客
12-22 860
网络安全涉及到了很多技术,包括计算机科学、网络技术、信息安全技术、通信技术、计算数学、密码技术等多学科的综合性交叉学科。那么小白想要进入网络安全行业,从事网络安全相关的工作,需要把上面这些内容都学完才行吗?当然不是,很多网络安全大佬最开始也只是懂一些皮毛,甚至只是一个脚本小子而已,他们也是掌握了基本入门知识之后,再通过自己努力学习提升的技术水平。网络安全导论、系统基础、基础运维、web基础、MySQLCDN、CMS、架构、搭建、WAF。
视频教程
热门推荐
FIGHTING!!!
01-21 2万+
又来一大波好东西,赶快收藏,下载吧,淘宝上就不用花钱买了 时间 2014-08-28 15:37:52  CSDN博客 原文  http://blog.csdn.net/u014304293/article/details/38898969 主题 电子商务 特别说明:如下是相关视频的解压密码,还有上次发的视频的解压密码,都在下面了
作为初学者,从哪些方面开始学习网络安全
Spontaneous_0的博客
01-30 1007
以上是初学者可以从哪些方面入手学习网络安全的建议。网络安全是一个非常广泛的领域,需要不断学习和实践才能掌握。一、相关基础网络安全导论、系统基础、基础运维、WEB基础、PHP入门、MYSQL二、信息收集CDN、CMS、架构、搭建、WAF三、WEB漏洞虚拟化技术、SQL注入的渗透与防御、XSS相关渗透与防御、上传验证渗透与防御四、漏洞发现。
小迪安全2023学习笔记第一
02-21
小迪安全2023学习笔记第一
安全Web安全学习笔记
02-26
这个月看了一本《Web安全设计之道》,书中的内容多是从微软官方文档翻译而来,这本书的含金量不高,不过也不能说没有收获,本文简单记录一下我学习Web安全方面的笔记。本文不涉及IIS、Windows和SqlServer的安全管理...
2021小迪web安全笔记全套.zip
08-16
安全圈子知名讲师 小迪 2021最新教学的课堂笔记 教程还是挺不错的,很好入门。教程也比较新,有新的waf绕过方法以及代码审计,还有新的工具和渗透思维。
小迪安全笔记,详细版本
01-23
小迪安全笔记】详细介绍了网络安全领域的多个关键知识点,涵盖了域名、DNS系统、CDN、DNS攻击、脚本语言以及后门等方面。 1. **域名**:域名是互联网上识别计算机或计算机组的名称,由点分隔的名字组成,如...
小迪基础渗透笔记0-24
05-18
小迪基础渗透笔记0-24
安全和加密常识(6)Base64编码方式
最新发布
二进制君
06-30 326
Base64 是一种用于将二进制数据编码为仅包含64种ASCII字符的文本格式的编码方法,注意,它不是加密算法。它设计的目的主要是使二进制数据能够通过只支持文本的传输层(如电子邮件)进行传输。Base64常用于在需要处理文本数据的场合中存储和传输二进制数据。
企业im(即时通讯)作为安全专属的移动数字化平台的重要工具
weixin_53855915的博客
06-30 795
企业在选择私有化部署的企业IM平台时,应根据自身需求和实际情况进行评估,选择一款可靠、灵活、安全的平台,以提高团队协作效率和数据安全性。WorkPlus企业im即时通讯集成平台的主要功能是支持私有化部署,提供了强大的移动平台底座能力,包含im即时通讯、移动应用管理、服务号、分级管控、用户行为分析等。实时沟通减少了信息滞后和等待回复的时间,提高工作效率。企业IM即时通讯平台通过数据集中管理,可以将重要的业务信息、文件和文档集中整理、存储和管理,方便团队成员进行访问、共享和协作,提高工作效率和信息管理能力。
加密与安全_三种方式实现基于国密非对称加密算法的加解密和签名验签
小工匠
06-30 1374
无需秘钥,“加密”后的数据不可逆。所以这也不算是“加密”,一般称为哈希(Hash)。任何长度的数据生成的哈希值长度都固定。相同数据每次生成的哈希值相同,不同的数据则不同。数据摘要/哈希,验证数据是否被篡改、或数据丢失,保障数据的完整性、不可篡改性。单向加密保存数据,如密码的保存,密码的存储普遍都是存的哈希值,登录时比较其hash值即可。
Java中的安全编码实践与防御技巧
06-30 385
在Java应用程序开发中,确保安全编码实践和防御技巧的有效实施,是保护用户数据和应用程序安全的关键。通过遵循以上建议和最佳实践,开发人员可以显著减少潜在的安全风险,提升系统的整体安全性和可靠性。大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬不穿秋裤,冷也要风度的程序猿!:利用成熟的安全框架和库,如Spring Security等,来简化安全性实现并提供额外的保护层。:保持对最新安全威胁和漏洞的了解,并采取相应的技术和工具来保护应用程序。
人工智能给文化安全带来挑战
yzf060109的专栏
06-28 594
算法是自动学习、自动决策的技术,但这并不意味着算法是“技术中立”的,算法的使用者、运营者赋予一定的目标从而发挥其效用。由于“信息茧房”中的信息是同质化的,人们的思维和观点也会变得封闭和单一。通过模仿名人或权威人士的言论和行为,“深度伪造”技术不仅可能损害他们的名誉,还能捏造出从未发生过的事件或情境,造成公众对实际发生事件的误解,并可能引发诽谤、欺诈和社会恐慌等一系列问题。由于算法技术的复杂性和专业性,加之公共权力机构在授权和监管上的不足,以及当前对于算法治理手段的相对落后,这种算法驱动的权力正在迅速扩张。
WEB安全基础-合集篇
10-23
WEB安全基础-合集篇,涵盖了基础SQL注入、文件上传、XSS、CSRF、文件包含、逻辑漏洞等内容。这篇文章适合新手学习参考,通过学习这些知识可以快速了解渗透测试的基础知识。 在这篇合集中,作者首先介绍了WEB安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值