安全基础web漏洞,漏洞注入打卡第四天

最新推荐文章于 2023-01-31 22:05:12 发布
最新推荐文章于 2023-01-31 22:05:12 发布
阅读量212 收藏 2
点赞数
分类专栏: 安全学习 文章标签: web漏洞 注入 mysql sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013133143/article/details/96467488
版权

本文为苏尚武老师运维安全课程课程笔记

  • SQL注入漏洞
    例子
    调整字符参数
    在这里插入图片描述在这里插入图片描述

  • ASP注入
    透字猜解法。判断注入,猜表名,猜列名,猜列长

  • 如何发现sql注入漏洞
    通过web漏洞扫描器
    在参数后面去添加错误语句
    大量的对参数Fuzz测试
    直觉发现。。。。

  • 注入分类
    数字型注入:如年龄,页码
    字符型注入:如账户、

  • 注入提交方式
    GET
    POST
    COOKIE
    HTTP头部注入

  • 注入方式
    基于报错注入
    基于布尔的盲注
    基于时间的盲注
    联合查询
    内联查询
    堆叠的查询

  • mysql手工注入
    万能密码:admin‘ or 1=1#
    存在注入才可以使用万能密码
    select * from user where username=’$user‘ and password=‘pass’
    select * from user where username=’admin‘ or 1=1#‘ and password=‘pass’

sql注入 %23 是)
version()
user()
datebase()
判断字段order by 3%23
联合语句union select 1,2,3 %23

  • sqlmap

sqlmap是一个基于python的脚本
-u 地址
-v 1-6级诸如信息,3级即可
-current-db 查看当前数据库
-dbs 有哪些数据库
-tables查看表
-column查看字符
-dump 查看日志

  • 总结
    如何注入post
  • 如何防护sql注入
    cdn隐藏真实ip地址
    通过安全函数进行过滤
    对数据库小权限设置
    服务器针对性的WAF防火墙
2ox
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
蜗牛学苑网络安全随堂笔记,打卡官网获得的
07-13
蜗牛学苑网络安全随堂笔记i,打卡官网获得的
web渗透-------WEB漏洞SQL注入
hhhjjjllll的博客
05-09 1363
mysql5.0以后的版本存在一个information_schema数据库、里面存储记录数据库名、表名、列名的数据库。(专门管理数据库的账户),root为最高权限,容易导致跨站注入数 据。普通用户:只能注入自己网站。相当于可以通过information_schema这个数据库获取到数据库下面的表名和列名。into outfile 或into dumpfile 文件写入。5)其他网站路径(进行文件读取,为高权限读取做准备)(不同的系统对数据库操作语句的大小写区分)当前网站的数据库是security。
Web安全注入漏洞详解及预防
路多辛的所思所想
01-31 883
注入类攻击是 Web 安全领域中最常见的攻击方式,注入攻击发生在当不可信的数据作为命令或者查询语句的一部分被发送给解释器的时候。预防注入类攻击的最好方法是代码审核,可以将静态的(SAST)、动态的(DAST)和交互式(IAST)的安全测试工具集成到 CI/CD 流程中,以便在部署到生产环境之前检测出并解决掉注入安全问题。注意避免xml注入、代码注入SQL注入、HTML注入注入安全问题的发生,一定要在数据拼接的地方进行安全检查,对拼接内容进行严格校验和必要的转义处理。常见的注入漏洞及预防措施。
常见的Web漏洞——命令注入
江左盟的博客
09-29 1万+
目录 命令注入简介 命令注入原理 漏洞利用 漏洞防范 总结 命令注入简介 命令注入漏洞SQL注入、XSS漏洞很相似,也是由于开发人员考虑不周造成的,在使用web应用程序执行系统命令的时候对用户输入的字符未进行过滤或过滤不严格导致的,常发生在具有执行系统命令的web应用中,如内容管理系统(CMS)等。 命令注入原理 本文以DVWA中的Command Injection为例,查看...
WEB漏洞- 注入类型及提交注入
硫酸超的博客
07-28 556
注入类型及提交注入前言简要明确参数类型数字字符搜索简要明确请求方式演示 前言 在真实SQL注入安全测试中,我们一定要先明确提交数据及提交方法后再进行注入,其中提交数据类型和提交方法可以通过抓包分析获取,后续安全测试中我们也必须满足同等的操作才能进行注入。 简要明确参数类型 数字 如果是数字的话可能不存在单引号 对方在数字上加单引号也是有可能的,要看对方的写法,因为纯数字的话加不加单引号是无所谓的,但还是得看前端的代码里有没有单引号 字符 一般是采用单引号 如果参数是字符的话那肯定是有单引号的 即使有
工作第五天之接着采集
weixin_33682719的博客
10-06 58
早上来看一下采集的数量,感觉没什么数量的变化。网速好慢,采集的好慢。 今天估计一天都要和采集抗争啦 转载于:https://blog.51cto.com/6113909/1014759...
跟着小迪学安全第一天,继续打卡实行
05-25
跟着小迪学安全第一天笔记
系统集成项目管理工程师打卡第二十四天.doc
07-23
系统集成项目管理工程师
诸子笔会 _ 6月盘点,打卡积分及月奖公布.pdf
09-18
诸子笔会 _ 6月盘点,打卡积分及月奖公布 威胁情报 安全防御 业务安全 安全管理 安全运维
第四章课程打卡.rar
07-03
在本资源"第四章课程打卡.rar"中,我们聚焦于2020年华为云实战营的第四章课程,这是一门旨在提升学员对AI和Python应用能力的速成课程。"五分钟快速打卡课程"表明这是一个高效的学习模块,旨在帮助学员在短时间内掌握...
web漏洞--注入漏洞
xsh951103的博客
01-07 2585
目录 1.Sql注入 2.Xml注入(xml实体注入,XXE) 3.远程文件包含漏洞 4.本地文件包含漏洞 5.命令注入漏洞 1.Sql注入 1.概念 1.SQL注入是一种Web应用代码中的漏洞。 2.黑客可以构造特殊数据库请求,使Web应用执行带有附加条件的SQL语句 用户请求中使用了带有参数的值,但是没有进行任何过滤 用户请求中使用了带有参数的值,没有进行任何转码 3.通过特殊的请求,Web应用向数据库访问时会附带其它命令: 任意查询命令 创建数据库/表 ...
Web常见漏洞及防范
烈火成冰
09-29 4071
一、SQL注入漏洞  SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。  通常情况下,SQL注入
Web安全知多少
weixin_30896511的博客
08-05 1099
随着Web2.0、网络社交等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中,越来越多的应用都架设在Web平台上。Web业务的迅速发展吸引了黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。黑客利用网站操作系统的漏洞Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得...
常见的Web漏洞——SQL注入
热门推荐
江左盟的博客
06-25 12万+
目录 SQL注入简介 SQL注入原理 SQL注入分类及判断 SQL注入方法 联合查询注入 基于bool的盲注 基于时间的盲注 总结 SQL注入简介 SQL注入是网站存在最多也是最简单的漏洞,主要原因是程序员在开发用户和数据库交互的系统时没有对用户输入的字符串进行过滤,转义,限制或处理不严谨,导致用户可以通过输入精心构造的字符串去非法获取到数据库中的数据。本文以免费开源数据库My...
第11天-Web漏洞——必懂知识点
MCTSOG的博客
01-19 5592
实际应用中右边方框中的漏洞,碰到的概率比较大! 简要说明以上漏洞危害情况 SQL注入危害 1.攻击者未经授权可以访问数据库中的数据,盗取用户的隐私以及个人信息,造成用户的信息泄露。 2.可以对数据库的数据进行增加或删除操作,例如私自添加或删除管理员账号。 3.如果网站目录存在写入权限,可以写入网页木马。攻击者进而可以对网页进行篡改,发布一些 违法信息等。 4.经过提权等步骤,服务器最高权限被攻击者获取。攻击者可以远程控制服务器,安装后门,得 以修改或控制操作系统 文件上传危害 如果 Web应用程序存在.
安全学习入侵检测打卡第十六天
蟋蟀15型
08-05 396
本文为苏尚武老师运维安全课程课程笔记 osquery osquery是一个可以把操作系统信息转换成数据库的东西,查询类似于查询数据库 安装故过程随意,最后配置文件 cp /usr/share/osqure/osqure.exmple.conf /etc/osqure/osqeer .conf osqueryi交互式模拟 osqueryd 后台进程模式 osquery+kolide fle...
安全学习安全加固openResty卡第十二天
蟋蟀15型
07-31 748
本文为苏尚武老师运维安全课程课程笔记 安装OpenResty yum install -y readline-devel pcre-devel openssl-devel git wget vim openssl-devel gcc curl tar -zxvf ngx_openresty-1.9.3.2.tar.gz ...
安全基础命令执行/XSS打卡第五天
蟋蟀15型
07-19 364
本文为苏尚武老师运维安全课程课程笔记 命令执行 危害高于sql注入,可以随意直接执行系统命令。没有对输入过滤 php中system、exec、shell、passthru、popen、proc_popen 案例: 命令注入 127.0.0.1 && username -ar 文件上传 客户端验证、mime验证 漏洞测试环境https://github.com/c0ny1/...
安全学习入侵检测-蜜罐打卡第十五天
蟋蟀15型
08-02 300
本文为苏尚武老师运维安全课程课程笔记 蜜罐 本质上是一种对攻击方的欺骗捕获分析,了解攻击者使用方法和意图 cowrie 一款伪装成ssh的蜜罐,可以获取攻击者的字典 搭建 useradd cowrie passwd cowrie yum install -y git python-virtualenv bzip2-devel libffi-devel vim net-tools mysql-...
hive连续五天打卡
最新发布
12-12
从周一到周五,我连续五天都参加了hive打卡活动。每天我都按时起床,并在打卡群里发送我的早起打卡照片。这项活动让我养成了良好的早起习惯,也让我感到自己更加自律和有条理。在这五天里,我发现自己的精神状态也...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值