qq_50673174的博客

这是因为使用的是火狐浏览器。换个谷歌浏览器或edge（我用的edge）初始化安装dvwa时。

Windows的一些特性:点号，空格，::$DATA的利用绕过：后缀名、双写、大小写、Apache解析漏洞、%00截断、content-Type通用：图片木马其它：条件竞争、二次渲染的绕过（gif图比较容易操作）可能还有一些没有涉及，但大致上是这样的吧。

剩下查询内容的操作就和一般的sql操作相同了，我们直接在本地mysql上实践，证实了我们先前的猜测，网页上所显示的内容是users表中的username和password的数据，而不回显id。靶场为sqli-labs（github上可以下载安装包，然后安装到phpStudy的www目录下，再修改一下里面的数据库信息就好了，我连接的本地数据库，root账户）另外， 在知道网站根目录的情况下，我们还可以通过sql语句上传木马。因为学习的需求，我开始了靶场的练习。通过联合查询的方式，我们基本上获取了所有的信息。.

XXE（XML External Entity）是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时，就会发生这种攻击。这种攻击通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

SSRF漏洞基本原理

利用pikachu测试平台对CSRF漏洞原理进行简单的阐述

文件包含漏洞的补充。主要是文件包含漏洞支持的伪协议。

简介主要简单介绍一下文件包含漏洞的相关知识，以及个人的一些学习心得一、二、

文件上传漏洞，文件下载漏洞的一些简单介绍及防范

主要介绍SQL注入漏洞原理、实际演示以及应用