- 博客(7)
- 收藏
- 关注
RSS订阅原创 # [特殊字符]️ 跨站脚本攻击(XSS)检测与绕过技术指南(实战版)
原步骤优化补充1.➕ 同时测试2. 测试onclick等➕ 扩展事件类型 + 观察过滤方式(删/替/转)3.➕ 尝试<iframe><form>4. Unicode 编码➕ 改为主推HTML 实体和JS 拼接5. Burp 改包测 Header➕ 明确测试User-AgentRefererXFF📌最后提醒:XSS 的本质是“在错误的地方执行了用户控制的数据理解上下文、观察过滤行为、灵活组合 payload,才是成功的关键。
2026-02-06 09:00:00
451
原创 # [特殊字符] XSS 跨站脚本攻击深度学习指南(完整版)
📚 XSS 跨站脚本攻击深度学习指南(摘要) XSS(跨站脚本攻击)是一种客户端安全漏洞,攻击者通过注入恶意脚本在受害者浏览器中执行。本文系统介绍了 XSS 的三种类型: 存储型 XSS:恶意代码存储在服务器(如评论区),所有访问者自动触发 反射型 XSS:恶意代码通过URL参数反射回页面,需诱导点击 DOM 型 XSS:纯前端漏洞,服务器不参与,通过修改DOM触发 XSS 的危害包括会话劫持、键盘记录、伪造请求等。检测方法需关注输入点和输出位置,针对不同上下文(HTML内容、属性、JS字符串等)构造特定
2026-02-05 15:16:45
640
原创 sqlmap 完整命令与参数大全(2026 权威速查版)
本文是对 **sqlmap 所有常用及高级命令与参数** 的系统化整理,涵盖 **基础探测、数据提取、绕过技巧、文件操作、系统控制、输出管理、代理配置等 10 大类**,内容全面、分类清晰、附带实战说明,可作为权威速查手册使用。
2026-02-01 00:00:00
551
原创 # SQL注入的闭合详解(核心原理+实战场景+错误返回+避坑技巧)
SQL注入闭合是字符型注入的核心操作,其本质是通过参数中的符号精准闭合原始SQL语句中的限定符,使注入代码成为合法SQL命令。闭合操作需匹配原始SQL的参数包裹规则(单引号、双引号或括号+引号),并正确处理多余语法。错误的闭合方式会触发特定报错信息,这是判断闭合类型的关键依据。常见闭合类型包括单引号闭合、双引号闭合、括号+引号闭合以及数字型无闭合。每种类型都有对应的正确操作步骤和典型错误示例,实战中需根据报错特征精准判断闭合方式。
2026-01-30 00:00:00
661
原创 sqlmap 从零到实战:新手完全自学手册(2026 终极完整版)
零基础友好|含 HTTP/SQL 基础覆盖“原理 → 手动测试 → 自动化 → 防御”全链路含法律边界、结果解读、误报分析可直接用于教学、培训或技术博客
2026-01-27 19:09:44
535
原创 主流数据库核心内置函数大全(MySQL/PostgreSQL/Oracle/SQL Server)(#含注入)
本文对比分析MySQL、PostgreSQL、Oracle和SQL Server四大主流数据库的内置函数,涵盖字符串、数值、日期时间、聚合和系统/安全等常用功能。详细列出各函数的跨平台支持情况、核心用法及差异,如字符串拼接方式(CONCAT/+/||)、日期处理(SYSDATE/GETDATE)等。特别标注SQL注入常用函数(如DATABASE()获取当前库名),兼顾开发与安全需求。通过表格形式直观呈现函数兼容性,便于开发者快速查阅和迁移数据库时参考。
2026-01-26 08:42:43
647
原创 # 【超详细】Nmap 从入门到实战:Kali 虚拟机网络配置 + 参数详解 + NSE 脚本大全(2026 最新版)
本文是一份详细的Nmap使用指南,面向网络安全初学者和Kali Linux用户。主要内容包括: 网络配置:解决Kali虚拟机网络连接问题,推荐桥接模式或NAT+静态路由方案 核心参数详解:介绍-sn、-Pn、-sV等常用参数及组合命令 NSE脚本应用:分类说明600+内置脚本的功能,包括信息收集、漏洞检测等 法律注意事项:强调仅限授权环境使用,避免违法行为 常见问题解决:提供扫描卡死、网络不通等问题的解决方案 文章采用技术说明+实践指导的形式,帮助读者快速掌握Nmap的基础使用和实战技巧,特别适合CTF新手
2026-01-18 22:13:22
624
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人