- 博客(18)
- 资源 (1)
- 收藏
- 关注
转载 测试Web应用程序中的竞争条件
转载自:http://www.freebuf.com/articles/network/107077.html此篇文章主要介绍了一下什么是“竞争条件”漏洞以及介绍了一下如何使用Burp来实现该漏洞的利用。在对一个应用程序进行黑盒/灰盒安全测试时,我们一般都把精力集中在OWASP TOP10上,而很少去测试“竞争条件”(race condition)问题。有一个共识是使用黑盒/灰盒方法进行“...
2018-10-17 23:28:00 846
转载 mysql常用字符串操作函数大全,以及实例
转载自:http://www.cnblogs.com/xiangxiaodong/archive/2011/02/21/1959589.html今天在论坛中看到一个关于mysql的问题,问题如下good_id cat_id12654 665,56912655 601,4722goods_id是商品idcat_id是分类id当我,怎么...
2018-10-10 00:49:38 487
转载 BugKu--login3(SKCTF) 布尔盲注 writeup
转载自:https://blog.csdn.net/zpy1998zpy/article/details/80667775Bugku的一道题目,用到了布尔盲注,还过滤了and关键字,这里用到了^(按位异或运算),正好记录下过程和方法。总体写的有点啰嗦,但是我不想让跟我一样入门的小白看教程看到一脸懵逼。题目地址:http://123.206.31.85:49167/index.php随便...
2018-10-10 00:46:43 1126
转载 CTF中几种通用的sql盲注手法和注入的一些tips
转载自:https://www.anquanke.com/post/id/1605840x00 前言在ctf比赛中难免会遇到一些比较有(keng)趣(die)的注入题,需要我们一步步的绕过waf和过滤规则,这种情况下大多数的注入方法都是盲注。然而在盲注过程中由于这些过滤规则不太好绕过,这时候就会无从下手,下面分享一下自己在比赛中总结几种比较通用的盲注手法和一些小tips,希望能在今后大家的...
2018-10-09 23:45:14 2513
转载 加了料的报错注入-实验吧
转载自:https://blog.csdn.net/xiaorouji/article/details/80587568去fuzz一下waf可以看到username不能用括号,然鹅password不能用floor,updatexml,polygon,multipoint,extractvalue,geometrycollection,multinestring,mulpolygon,lines...
2018-10-08 17:24:47 361
转载 SQL注入的防范措施
转载自:https://blog.csdn.net/qq_35420342/article/details/80380382通过正则表达校验用户输入首先我们可以通过正则表达式校验用户输入数据中是包含:对单引号和双"-"进行转换等字符。然后继续校验输入数据中是否包含SQL语句的保留字,如:WHERE,EXEC,DROP等。现在让我们编写正则表达式来校验用户的输入吧,正则表达式定义如下...
2018-10-08 17:21:14 9238
转载 震惊!sql注入 的格式居然被他爆了出来,按照这个格式,新手入侵网站变成可能?!(作者自用格式)
转载自:https://blog.csdn.net/qq_42777804/article/details/81226567判断是否存在注入id=1’ 异常id=1’ and 1=1%23 正确id=1’ and 1=2%23 错误说明存在单引号字符型SQL注入都错误的话,可以尝试数字型,双引号,括号型2.求列数id = 1 order by 4%23 正常Id ...
2018-10-08 17:17:31 801
转载 [CTF知识] sql注入12个报错方式
转载自:http://www.bugku.com/thread-93-1-1.html 1、通过floor报错,注入语句如下: and select 1 from (select count(*),concat(version(),floor(rand(0)*2))x from information_schema.tables group by x)a); 2、...
2018-10-08 17:14:06 742
转载 MISC总结——隐写术(四)
转载自:https://www.cnblogs.com/lxz-1263030049/p/9404251.html目录Outguess 容差比较的隐写 这一篇是继上一篇之后的另一篇关于隐写术在ctf比赛中常见的套路问题:MISC总结——隐写术(一)详情请见:https://blog.csdn.net/xuchen16/article/details/82969608M...
2018-10-08 16:59:47 2219
转载 MISC总结——隐写术(三)
转载自:https://www.cnblogs.com/lxz-1263030049/p/9392923.html目录 这一篇是继上一篇之后的另一篇关于隐写术在ctf比赛中常见的套路问题:MISC总结——隐写术(一)详情请见:https://blog.csdn.net/xuchen16/article/details/82969608MISC总结——隐写术(二)详情请见:h...
2018-10-08 16:56:08 1854
转载 MISC总结——隐写术(二)
转载自:https://www.cnblogs.com/lxz-1263030049/p/9388602.html这一篇是继上一篇之后的另一篇关于隐写术在ctf比赛中常见的套路问题:上一篇详情请见:https://blog.csdn.net/xuchen16/article/details/82969608本文参考自:先知社区:https://xz.aliyun.com/t/1836...
2018-10-08 16:44:05 2800
转载 MISC总结——隐写术(一)
转载自:https://www.cnblogs.com/lxz-1263030049/p/9388511.html一直有这个想法,打算把关于misc类型的题目总结一下,希望能够提醒自己一直学习也希望能够帮助到那些需要帮助的人本文参考自:先知社区:https://xz.aliyun.com/t/1833隐写术介绍:隐写术是关于信息隐藏,即不让计划的接收者之外的任何人知道信息的传递...
2018-10-08 16:21:15 12137
转载 判断sql注入漏洞的类型
转载自:https://blog.csdn.net/D_pokemon/article/details/77899640通常 Sql 注入漏洞分为 2 种类型:数字型 字符型其实所有的类型都是根据数据库本身表的类型所产生的,在我们创建表的时候会发现其后总有个数据类型的限制,而不同的数据库又有不同的数据类型,但是无论怎么分常用的查询数据类型总是以数字与字符来区分的,所以就会产生注入点为何...
2018-10-08 16:18:32 3302
转载 Bugku sql注入2 writeup
转载自:http://hu3sky.ooo/2018/08/18/bugku%20sql2/网上没有一个正常做出来了的看了叶师傅的wp,跟着学一遍username的注入,盲注根据username的返回不同fuzz,几乎都过滤完了。没过滤的 !,!=,=,+,-,^,%数字型时,可以用^进行闭合and这些也被过滤。需要用到-1-'admin'-1-'' = -1'admin'-...
2018-10-08 14:40:48 4285
转载 BWVS-2018最新web漏洞大型综合类测试系统
转载自:https://blog.csdn.net/weixin_42373210/article/details/811963381.BWVS简介BWVS(Bugku Web Vulnerability System)是一个基于留言功能的简单Web漏洞测试系统,具有较强的可移植性和扩展性,适用于业界主流的Web集成环境,如:WAMP(Windows+Apache+Mysql+PHP)、L...
2018-10-07 01:00:20 1184
转载 HTTPS攻击
转载自:https://blog.csdn.net/qq_26090065/article/details/81251746HTTPSHTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块作用保证传输过程中CIA(机密性,完整性,可用性)加密:对称,非对称,单向使用场景邮件传输 数据库服务器间 LDAP身份认证服务器间 SSL VPN...
2018-10-07 00:57:50 465
转载 CTF比赛中SQL注入的一些经验总结
转载自:http://www.freebuf.com/articles/web/137094.htmlctf中sql注入下的一些小技巧最近花了一点时间总结了各大平台中注入的trick,自己还是太菜了,多半都得看题解,就特此做了一个paper方便总结注释符以下是Mysql中可以用到的单行注释符:# -- -;%00以下是Mysql中可以用到的多行注释符(mysql...
2018-10-07 00:55:01 1117
转载 异或注入
转载自:https://www.jianshu.com/p/27df5c67157c原理异或是一种逻辑运算,运算法则简言之就是:两个条件相同(同真或同假)即为假(0),两个条件不同即为真(1),null与任何条件做异或运算都为null,如果从数学的角度理解就是,空集与任何集合的交集都为空。mysql里异或运算符为^ 或者 xor两个同为真的条件做异或,结果为假两个同为假的条件...
2018-10-06 23:37:24 1981
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人