WEB安全
文章平均质量分 96
web安全
桃子味奶茶
这个作者很懒,什么都没留下…
展开
-
XSS漏洞详解
每天一个小知识之GET、POST区别1、GET是从指定的资源请求数据,POST是向指定的资源提交要被处理的数据。2、GET参数是带在URL后面,POST请求放在请求体Request Body中。3、GET方法提交的数据大小长度有限制,POST方法没有对长度进行限制。HTTP协议规范没有对URL长度进行限制。GET方法提交数据大小的限制是特定的浏览器及服务器对它的限制。IE对URL长度的限制是2083字节(2K+35)4、GET请求能够被cache,POST不进行缓存。GET请求能够被保存在浏览.原创 2022-05-27 15:47:41 · 2223 阅读 · 0 评论 -
DVWA之sql盲注学习
1、判断是否存在注入,注入是字符型还是数字型DVWA安全级别为“Low”(1)判断是否存在漏洞Id值输入为1,发现正常显示Id值输入为1’,发现报错判断存在sql注入漏洞(2)判断是否存在数字型漏洞输入1 and 1=1 显示正常输入1 and 1=2,显示仍然正常故,判断不存在数字型漏洞(3)判断是否存在字符型漏洞输入1’ and ‘1’=’1,正常显示输入1’ and ‘1’=’2,没有显示结果故判断,此处存在一个sql注入漏洞,并且是字符型的漏洞2、猜解数据库名原创 2020-11-12 20:02:05 · 665 阅读 · 0 评论 -
DVWA盲注之报错注入的存在问题
DVWA盲注之报错注入实验等级为LOW级别在报错注入中,发现高版本的dvwa并不会跳转出报错内容我们输入1’ 只会告诉我们这个参数不正确此时我们使用报错函数也没有用,只能做出exist or missing的判断但是我们发现只需要修改对应的脚本内容,即可实现报错函数的利用,顺利爆出数据修改后的脚本如下:<?phpif( isset( $_GET[ 'Submit' ] ) ) { // Get input $id = $_GET[ 'id' ]; // Check data原创 2020-11-12 18:40:21 · 609 阅读 · 0 评论 -
DVWA-sql注入漏洞详解
1、判断是否存在SQL注入点DVWA安全级别为“Low”(1)判断是否存在漏洞Id值输入为1,发现正常显示Id值输入为1’,发现报错判断存在sql注入漏洞(2)判断是否存在数字型漏洞输入1 and 1=1 显示正常输入1 and 1=2,显示仍然正常故,判断不存在数字型漏洞(3)判断是否存在字符型漏洞输入1’ and ‘1’=’1,正常显示输入1’ and ‘1’=’2,没有显示结果故判断,此处存在一个sql注入漏洞,并且是字符型的漏洞2、判断数据表的列数使用or原创 2020-10-29 16:49:30 · 2137 阅读 · 1 评论 -
RedTiger‘s Hackit练习sql漏洞
level1level1打开界面如下图通过http://redtiger.labs.overthewire.org/level1.php?cat=1 ’http://redtiger.labs.overthewire.org/level1.php?cat=1 and 1=1http://redtiger.labs.overthewire.org/level1.php?cat=1 and 1=2测试,发现这是一个数字型sql注入漏洞知道存在漏洞后,我们通过order by判断数据表的列数这个原创 2020-10-18 16:51:29 · 563 阅读 · 1 评论