- 博客(11)
- 收藏
- 关注
原创 SELECT 1,2,3...的含义及其在SQL注入中的用法
在SQL注入中,有两个工具常常用到,一个是select接一串数字,如select 1,2,3;另一个是orderby一个数字,如order by 4。那么这两个工具的内涵是什么,在SQL注入中又有什么作用呢?首先,select之后可以接一串数字:1,2,3…只是一个例子,这串数字并不一定要按从小到大排列,也不一定从1开始,这串数字的值和顺序是任意的,甚至可以是重复的,如:11,465...
2019-04-09 23:40:28 24401 9
原创 python爬虫(requests+bs4)爬取网页数据并保存的实现思路和步骤
学习python有一段时间了,也写了第一个爬虫,一直没有时间总结一下,学习的时候看了不少博客分享了自己的爬虫思路和代码,感觉其中一些比较冗长且缺乏条理,因此今天希望通过自己的第一个爬虫来总结下python写爬虫的思路。1.写爬虫的思路和步骤首先要有一个大致的思路,这样写代码就会非常顺畅,那么些爬虫的思路是什么呢?我认为是根据自己要写的功能,一块一块的写。比如,我要写一个爬虫实现爬取网页指定内容...
2019-06-03 23:41:25 7341
原创 文件上传绕过之00截断
00截断是文件上传时的bypass手段之一,很多人知道这种绕过方法,但却知其然不知其所以然,对于其原理以及什么场合下适用并没有很好的了解,本文就来谈一谈00截断是怎么工作的,在什么场合下适合使用它1. 【00截断原理】谈到00截断我们都会想到,有什么0x00截断,%00截断,也有人对两个东西分析一大堆,那么它俩有什么区别呢,什么场合适用哪一个呢?这就要从00截断的原理说起:其实截断的原理...
2019-05-26 21:37:35 20454 6
原创 Netstat常用参数及常用CMD命令总结
Netstat是一个控制台命令,可以用来查看本机的网络连接和开放端口,它的使用方法是在CMD中输入netstat -xxx ,其中-xxx是不同的参数,那么对常见的参数总结如下netstate常用参数:-a 查看开启了哪些端口-o 查看TCP连接信息-ano | findstr “端口号” 查看端口被哪个PID占用-an |find /i “listenning” win...
2019-05-19 22:10:44 2796
原创 应急响应流程
应急响应指的是在系统或者网站遭到黑客入侵后,我们需要对攻击事件的类型进行定义,对攻击发生的原因进行溯源分析,查找黑客入侵的方式以及是否留有后门,所以应急响应是一项十分重要的工作。本篇对应急响应的流程进行总结1.事件的分类攻击事件发生后,首先要对事件进行分类,分析攻击属于哪种类型以便针对性的进行处置,常见的攻击事件如下:Web入侵:挂马、篡改、Webshell系统入侵:系统异常、RD...
2019-05-12 18:18:18 6996 1
原创 XSS漏洞攻防
1.什么是XSS漏洞其实从逻辑上讲,XSS和其他的漏洞诸如SQL注入、文件上传漏洞有很类似的地方:它们都可以通过一些特定的手段,将攻击的代码成功的传送到我们想要攻击的地方。那么有两个关键的环节:1.代码的注入,即通过什么办法把攻击代码“送”到目的地。2.代码本身的内容,直接决定着代码进行什么样的攻击,达到什么样的目的,决定着攻击的“威力”。XSS就是一段由Javascript编写的攻击代码...
2019-05-09 22:22:47 349
原创 文件上传漏洞靶场源码关键语句分析
漏洞靶场是进行渗透技术学习和提高的利器,可以学习到很多基本的Payload和渗透思路,但是学习Payload只是应该达到的基本目标,对过滤本身设置的思路以及对应的绕过思路进行思考和总结才是更为重要的。也就是“渔”和“鱼”的关系。过滤代码可以使用很多种语言来编写,如javascript、PHP等,代码很多时候是相通或可以类比的,因此对于很多代码功底不是很深的初学者,可以对基本代码进行分析和学习,...
2019-05-09 00:26:56 1068 3
原创 文件上传漏洞简述
文件上传漏洞是常见的几大漏洞之一,也是非常重要的一种。下面对文件上传漏洞的概念、框架以及应用危害等进行简述,在学习一种漏洞之前要先深入理解它。首先,什么是文件上传漏洞,顾名思义,这个漏洞的产生是发生在文件上传的过程当中的,其实本质上它有些类似于存储型XSS漏洞,从结果上看都是通过漏洞向服务器数据库存储了一段恶意代码,而不同的是文件上传漏洞的利用是以“文件”为载体的。文件我们都知道有很多种类型...
2019-04-20 22:34:18 972
原创 如何利用系统数据库获取数据库中的属性
在数据库结构中,分为数据库(database),表(table),列(column),数据(某行某列)几个层级。有时我们想知道某一层级下的一些属性,例如:1.数据库名 2.某一数据库的表名 3.某一个表的有几列,每列的属性叫什么 4.某一列的数据类型是什么上述这些问题有一个共同点,我们想获取的都是一些属性类的数据,这些数据不存在与我们创建的表或数据库中,它们以属性的形式存在于我们创建的...
2019-04-02 21:34:03 1030
原创 使用Union语句进行SQL注入的基本原理
使用Union语句进行SQL注入的基本原理SQL注入是常见的网络攻击方法,之所以能够实现,是因为网页有着SQL漏洞。那么什么是SQL漏洞呢,理解SQL注入以及SQL漏洞就要从注入的基本概念和原理说起,Union联合注入SQL注入的一种方式,如果存在漏洞时可以利用这种方法获取我们想要的各种信息,以下从个人角度简要的对注入概念和原理进行解释。1. 对SQL注入的理解所谓的SQL注入,是利...
2019-04-01 22:43:38 3792 1
原创 SQL增查删改常用语句
SQL增查删改常用语句SQL语言及数据库1. 查询语句 SELECT2.删除语句DELETE3.插入语句 INSERT INTO4.更改语句 UPDATESQL语言及数据库SQL语言是一种针对数据库进行交互的语言,包括数据库内容的增查删改,对数据库结构的建立和更改等。SQL文件中包括两大部分:1.结构,即数据库中表的结构,包括表的行数、列数、每列的属性、数据内容的类型等。2.数据,在表的结...
2019-03-29 20:59:33 1448 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人