- 博客(6)
- 收藏
- 关注
RSS订阅原创 [第一章 web入门]SQL注入-2
1 通过updatexml取数据从页面发现有一个提示如果加上?tips=1的话,通过burpsuite发包可以通过updatexml来查看回显,可以通过这个取到数据下面是通过updatexml来注入,这时4步中用到语句name=admin’ and updatexml(1,concat(0x7e,(select(database())),0x7e),1) #&pass=bbname=admin’ and updatexml(1,concat(0x7e,(selEct(group_conc
2021-07-23 15:50:43
1097
原创 [极客大挑战 2019]FinalSQL
知识点:盲注打开题目后,发现有两个链接,一个是check.php,一个是search.php。使用burpsuite测试发现,check.php屏蔽了大多的特殊字符,基本上没有注入可能,而search.php支持^,select,有盲注可能。基本思路如下获取库名1^(ascii(substr((select(database())),%d,1))<%d)这里有几点说明取到库名后,一位位取出,如果小于某个值,则返回1,1^1 异或得到0,根据id=0无法取到数据,否则得到1,可以正常根据i
2021-07-23 12:50:25
101
1
原创 java安全编码规范
申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-3-java%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E8%8C%83.md1输入验证和数据合法性校验程序接受数据可能来源于未经验证的用户,网络连接和其他不受信任的来源,
2021-01-01 15:04:31
595
原创 SDL实战经验准则
SDL实战经验准则(摘自白帽子谈web安全,详细见原书)准则一:与项目经理进行充分沟通,排除足够的时间准则二:规范公司的立项流程,确保所有项目都能通知到安全团队,避免遗漏准则三:树立安全部门的权威,项目必须由安全部门审核完成后才能发布准则四:将技术方案写入开发、测试的工作手册中准则五:给工程师培训安全方案准则六:记录所有的安全bug,激励程序员编写安全的代码...
2021-01-01 14:44:44
283
原创 Java学习记录1
9 方法的参数传递时,象string int 这些普通类型的参数只是值参,在方法中修改时,值 不会改变。定义的类是形参,可以在方法中修改值 。10这里面调用一个类时,是顺序执行的,如果这个类堵塞在那里,会导致这个包执行失败,因为程序会一直卡死在那里。比如在这个类中启动一个IO读取,使用堵塞方式,会导致spring一直卡在这里,无法启动后续的程序。11 aop修饰的类中,如果方法为private,可能导致自动装载失败12 autowired不能注入静态变量,会失败。13 单例模式实现了一个全局变
2020-12-31 17:21:59
57
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人