渗透相关问题(3)

本文深入探讨了SQL注入的各种绕过方法,如注释符号、大小写、编码等,以及防御策略,如代码转义、预处理。同时介绍了WAF类型,如硬件、软件和云端。讨论了sqlmap工具的使用,包括探测类型、风险等级和功能。还涵盖了XSS攻击的原理、类型、危害及修复方法,以及Webshell和上传漏洞的相关知识。
摘要由CSDN通过智能技术生成

1.sql注入绕过的方法?
注释符号绕过、大小写绕过、内联注释绕过、双写关键字绕过、特殊编码绕过、宽字节绕过。

2.WAF常用的类型?
硬件设备类型、软件产品类型、基于云的WAF。

3.sql注入漏洞防御方法?
代码层面:对输入进行严格的转义和过滤;使用预处理和参数化。
网络层面:通过WAF设备启用防sql注入策略(或类似防护系统);云端防护(360网站卫士,阿里云盾等)

4.sqlmap支持几种类型的探测?
布尔类型的盲注;时间的盲注;报错注入;联合查询注入;堆查询注入。

5.sqlmap有几种风险等级,几种安全等级?
5种安全级别、4种风险等级。

6.sqlmap爆出所有用户的选项?
–users

7.sqlmap的功能?
主要功能是扫描,发现并利用给定的URL进行SQL注入。

8.如果后台过滤了and 和 or ,请问使用sqlmap的tamper如何绕过?
–tamper=space2comment.py #指定脚本进行过滤,用/**/代替空格

9.发现目标有sql注入漏洞,且权限为管理员权限,请问有哪几种方法可以进行上传webshell?
通过sqlmap进行上传;
通过上传文件的页面进行上传。

10.sqlmap支持哪些编程语言、及哪些数据库?
支持的编程语言有jsp,jspx,asp,php;
持的数据库有MySql、Oracle、Access、PostageSQL、SQL Server、I

  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值