网络安全技能
USG_f4d
UHGsec团队
展开
-
安全技能-CSRF漏洞
介绍CSRFCSRF(跨站请求伪造),也被称为One Click Attack 或者 SessionRiding,通常缩写为CSRF或XSRF,是一种对网站的而恶意利用CSRF通过通过伪装成受信任用户请求受信任网站,与XSS相比,CSRF攻击往往不太流行,但难以防范,所以被认为比XSS更具攻击性原理攻击者利用目标用户身份,以目标用户的名义执行某种非法操作,CSRF能做的事情包括:以目标用...原创 2019-10-14 16:18:15 · 246 阅读 · 0 评论 -
安全技能-XSS
XSS介绍跨站脚本攻击(简称XSS),是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种,他允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响XSS攻击可以分为三种反射型XSS存储型XSSDOM型XSS原理反射型XSS反射型XSS又称非持久型XSS,这种攻击方式具有一次性攻击方式:攻击者通过电子邮件等方式将包含XSS代码的恶意链接...原创 2019-10-14 15:51:21 · 295 阅读 · 0 评论 -
安全技能-SQL注入绕过技术
大小写绕过注入URL地址:http://127.0.0.1/sql/1.php?id=1访问id=1’ 页面报错,访问id=1 and 1=1 页面返回’nohack’,发现被拦截,说明有关键词过滤,可以尝试使用大小写绕过(如And 1=1,aNd1=1,AND 1=1 等)观察页面返回信息,判断是否存在sql注入然后使用order by 查询字段长度最后使用union...原创 2019-10-14 15:49:02 · 201 阅读 · 0 评论 -
安全技能-常见sql注入
时间盲注URL地址:http://127.0.0.1/sql/lime.php?id=1情况与Boolean注入相似的另外一种注入方式时间盲注多与if(expr1,expr2,expr3)结合使用if含义是:如果expr1位TRUE,则返回expr2,否则返回expr3判断数据库名长度if(length(database())>1,sleep(5),1)...原创 2019-10-14 15:38:00 · 187 阅读 · 0 评论 -
安全技能-SQL注入基础
产生原因Web应用程序没有对用户数据的合法性进行判断,前端传入后端的参数是攻击者可控的,并且参数代入数据库查询,攻击者可以通过构造不同SQL语句来实现对数据库任意操作SQL注入原理SQL注入产生,需要满足一下两个条件参数用户可控:前端传给后端的参数内容是用户可控制的参数代入数据库查询:传入的参数拼接到SQL语句,且代入数据库查询相关知识点在MySQL5.0版本之后,...原创 2019-10-14 15:30:29 · 126 阅读 · 0 评论