E-COM-NET
首页
在线工具
Layui镜像站
SUI文档
联系我们
推荐频道
Java
PHP
C++
C
C#
Python
Ruby
go语言
Scala
Servlet
Vue
MySQL
NoSQL
Redis
CSS
Oracle
SQL Server
DB2
HBase
Http
HTML5
Spring
Ajax
Jquery
JavaScript
Json
XML
NodeJs
mybatis
Hibernate
算法
设计模式
shell
数据结构
大数据
JS
消息中间件
正则表达式
Tomcat
SQL
Nginx
Shiro
Maven
Linux
———SQL注入
什么是webshell 常见的webshell工具有哪些
黑客通常利用常见的漏洞,如
SQL注入
、远程文件包含(RFI)、FTP,甚至使用跨站点脚本攻击(XSS)等方式作为社会工程攻击的一部分,最终达到控制网站服务器的目的。
蚁景网络安全
·
2023-04-16 14:34
linux
运维
服务器
【移动安全基础篇】——00、移动应用安全检测清单
客户端应用可被进行逆向工程/缺乏代码混淆跨站脚本攻击认证绕过应用代码中存在硬编码敏感信息(包含秘钥)恶意文件上传固定会话攻击权限提升
SQL注入
双因子认证绕过LDAP注入系统命令执行iOSsnapshot
FLy_鹏程万里
·
2023-04-16 05:55
【移动安全】
#
移动安全基础篇
buuctf-web-[RoarCTF 2019]Easy Calc1
打开环境发现一个类似计算器的东西尝试一些常规的测试参数尝试单引号发现提示,但是并未报错,非
sql注入
查看源代码找到一段JavaScript脚本$('#calc').submit(function(){$
mlws1900
·
2023-04-16 04:27
buuctfweb
ctf
php
buuctf-web-October 2019 Twice SQL Injection1
admin'unionselectdatabase()#,密码123456(此处此方法无用,账号必须是数字)注册账号为1'unionselectdatabase()#,密码为123重新登录,发现显示数据库为ctftraining随后就是
sql
mlws1900
·
2023-04-16 04:27
网络安全
buuctfweb
ctf
ctf
安全
sql
sql注入
漏洞扫描工具AWVS的安装及配置使用过程
AWVS可以通过检查
SQL注入
攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性。特点:●自动的客户端脚本分析器,允许对Ajax和Web2.0
黄乔国PHP|JAVA|安全
·
2023-04-16 01:33
网络安全
web安全
安全
网络逻辑漏洞、SQLMAP、Nmap、burpsuite及其命令的使用方法
SQLMAPsqlmap是一种开源的渗透测试工具,可以自动检测和利用
SQL注入
漏洞以及接入该数据库的服务器。
斑马还没睡ᝰ
·
2023-04-15 19:38
开发语言
如何对前端加密后的数据进行解密爆破
如何对经前端加密后的数据进行爆破,这是个问题,例如数据中的账号密码被加密、测试一些payload(
sql注入
和xss等)。
Justsudo
·
2023-04-15 19:36
js
前端
加密解密
网络安全
【python】使用pymysql模块对MySQL进行操作
对于sql语句不要使用python的字符串格式化(如format)进行拼接,容易被
sql注入
,使用execute的第二个参数用列表的形式传入参数。
宋晓坤
·
2023-04-15 17:06
Python
MySQL
mysql
python
数据库
反编译软件+
sql注入
方式
反编译什么是反编译?高级语言源程序经过编译变成可执行文件,反编译就是逆过程。-反编译的工具1、jsfinder使用:下载网址:https://github.com/Threezh1/JSFinder下载后移到kali,然后cd到该目录。image.png简单爬取(-u):python3JSFinder.py-uhttp://www.mi.com(目标网址)深度爬取(-d):pythonJSFind
JyinP
·
2023-04-15 14:18
sql注入
sql注入
是指把sql关键字以变量的形式拼接到要执行的sql中,导致sql的执行效果发生变化。
您社交账号的昵称在简书已被使用
·
2023-04-15 12:30
攻防世界-inget(简单的
SQL注入
、万能密码)
目录1、手工注入(万能密码原理)2、sqlmap实现3、常用参数1、手工注入(万能密码原理)打开链接,提示输入id并尝试绕过尝试一下万能密码,使用逻辑语句使结果返回构造payload/?id='or''='我们这里是以get传参的方式在前端给id传了个值,后端会对我们提交的内容进行查询比如我们提交的是id=123而到后端大概会呈现出来的部分内容就是'id=123'会有单引号将这个内容引起来进行查询
kali-Myon
·
2023-04-15 10:50
web
SQL
CTF
数据库
sql注入
sqlmap
万能密码
网络安全
茴香豆安全 -
Sql注入
如何绕过WAF/IPS防火墙
一、前言前面我们学习了如何利用sqlmap工具
sql注入
,获取网站的管理员账号密码,看似流程非常简单,不过在实际渗透测试的时候,我们其实会遇到各种各样的问题。
wycdavid
·
2023-04-15 09:18
理解什么是
sql注入
攻击 + xss攻击 + cors 攻击
SQL注入
SQL注入
就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
龙崎流河
·
2023-04-15 07:21
计算机基础&网络编程
sql
xss
数据库
Web安全课程目录
、常见的协议(Http、TCP-IP)二、信息搜集1、收集域名信息2、收集子域名信息3、收集端口信息4、查找真实IP5、指纹识别(cms、服务器类型、脚本语言等)三、OWASP_TOP10漏洞讲解1、
Sql
Beyond My
·
2023-04-15 04:44
web安全课程
web安全
安全
网络
SQL注入
进阶
绕过条件过滤条件过滤,顾名思义就是黑名单机制,过滤掉符合条件的语句。因此我们要想办法绕过过滤,用其他方法来实现注入。过滤注释常见注释://,--,/**/,#,--+,---,;%00可以考虑尝试基于布尔方式注入过滤OR&AND-单引号无法使用布尔判断,此处可以使用代替的方法用&&替代and,||替代or,尝试使用oorr去绕过过滤空格和注释--单引号sql语句中函数之间是要有空格的,如andun
温柔倾怀
·
2023-04-14 21:49
MySQL笔记 —— jdbc连接数据库(增删改查,
sql注入
,网站登录检查)
目录查询语句(查)插入语句(增)删除语句(删)修改语句(改)
SQL注入
问题完整的网站登录检查点击截图右边的加号然后选择jar包mysql-connector-java-5.1.17.jar这个jar包让我们可以在
一纸春秋
·
2023-04-14 21:00
MySQL
mysql
数据库
sql
jdbc
【网络安全】
SQL注入
--二次注入
二次注入二次注入原理二次注入图解实例展示1.注册m和m'/m'and1=1#账号2.修改m'and1=1#密码为456789二次注入原理二次注入是使用了addslashes或者是借助get_magic_quotes_gpc对其中的特殊字符进行了转义,但是addslashes有一个特点就是虽然参数在过滤后会添加“\”进行转义,但是“\”并不会插入到数据库中,在写入数据库的时候还是保留了原来的数据。》
边缘拼命划水的小陈
·
2023-04-14 19:11
网络安全
web安全
sql
安全
【网络安全】
SQL注入
--报错注入
报错注入报错注入定义代码展示常用的报错语句1.获取数据库名称2.获取mysql账号密码3.获取表名4.获取字段名5.获取账号密码报错注入定义报错注入:利用sql语句的不规范,获取相关sql提示信息代码展示常用的报错语句selectfirst_name,last_nameFROMuserswhereuser_id=‘1’andinfo()–#获取当前使用的库1’and(updatexml(1,con
边缘拼命划水的小陈
·
2023-04-14 18:31
网络安全
web安全
mysql
SQL注入
攻击及防御详解
SQL注入
攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统
明_96af
·
2023-04-14 17:52
WuThreat身份安全云-TVD每日漏洞情报-2023-04-12
漏洞名称:BluePageCMS
SQL注入
漏洞级别:严重漏洞编号:CVE-2022-38922,CNNVD-202304-064相关涉及:BluePageCMS3.9版本及之前版本漏洞状态:POC参考链接
WuThreat
·
2023-04-14 13:41
php
服务器
开发语言
BUUCTF-sql双写绕过
1''&password='1''字符型我们开始尝试万能密码1'or1=1--+发现返回的东西和我们输入不一样or没了过滤了or这个是关键我们使用双写绕过1'oorr1=1--+得到了账号密码我们开始
sql
双层小牛堡
·
2023-04-14 09:57
BUUctf
java
html
服务器
基于mysql的
sql注入
原理复盘
基于mysql的
sql注入
原理复盘原理:web程序未对用户提交参数进行过滤,导致参数被拼接到sql语句在数据库被执行测试方法:寻找可控参数使用单引号,and1=1和and1=2手工判断或使用工具修复sql
actistsec
·
2023-04-14 08:23
web渗透
mysql
网络安全
python 操作数据库( MySQLdb/pymysql)构造sql语句,避免引号问题)
不要用字符串格式化方式、拼接SQL语句
SQL注入
风险操作的内容中有单引号(')、双引号(")、转义符时出错使用数据库操作内库提供的方法pymysql#Don'tdo:sql="INSERTINTOTABLE_A
dawsongzhao
·
2023-04-14 05:06
Java框架 | Spring和MyBatis中的#与$
在MyBatis中,#符号表示参数占位符,可以防止
SQL注入
攻击;而$符号则表示文本替换符,直接将变量替换到SQL语句中,可能存在
风吹衣ou
·
2023-04-14 04:20
提问式学习Java知识
mybatis
java
spring
网络安全必学 SQL 注入
1.1.
Sql注入
攻击原理
SQL注入
漏洞可以说是在企业运营中会遇到的最具破坏性的漏洞之一,它也是目前被利用得最多的漏洞。要学会如何防御
SQL注入
,首先我们要学习它的原理。
没更新就是没更新
·
2023-04-14 01:31
学习思路
网络安全技能树
计算机
web安全
网络安全
职场和发展
编程
sql
Django模型(1)
SQL注入
。ORM,全称Obje
成长之路丶
·
2023-04-14 00:47
直播软件被黑客攻击如何防御
职业不可避免地会遭受黑客攻击,从SQL攻击、到中间人攻击,为了确保平台的安全,直播平台必须准备好相应的方案,不仅保护好平台数据安全,又要保证用户的数据安全,不过在使用预防方案前,先来了解一下各种攻击方式一、
SQL
中云DDoS CC防护蔡蔡
·
2023-04-13 23:13
ddos
阿里云
服务器
运维
网络安全
sql注入
基础原理
一、
Sql注入
简介
Sql注入
攻击是通过将恶意的Sql查询或添加语句插入到应用的输入参数中,再在后台Sql服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一。
WhiteFive55KAI
·
2023-04-13 22:06
网络
sql
数据库
服务器
java审计-mybatis注入审计
#{}:解析的是占位符问号,可以防止
SQL注入
,使用了预编译。
zgcadmin
·
2023-04-13 22:16
mybatis
java
mysql
系统安全
代码复审
SQL注入
——GET类型
SQL注入
——GET类型靶场地址原理:
sql注入
就是利用GET传参,用户提交数据与数据库进行交互,从数据库中提取有用的信息第一题:我们先在url栏测试一下,把id=1改成id=-1结果页面就不显示了表示存在
Xuno_
·
2023-04-13 20:18
网络安全
sql
mysql
测试工程师
黑盒测试
白箱测试
第50天-代码审计-PHP 无框架项目 SQL 注入挖掘技巧
相关审计工具及插件使用代码审计必备知识点:环境安装搭建使用,相关I具插件安装使用,掌握前期各种漏洞原理及利用代码审计开始前准备:审计目标的程序名,版本,当前环境(系统中间件脚本语言等信息),各种插件等简易
SQL
IsecNoob
·
2023-04-13 19:52
web安全
sql 注入 Dnslog
sql注入
DnslogDNSLog注入原理通常我们面对
SQL注入
过程中没有回显的情况下,只能通过盲注的方式来判断是否存在
SQL注入
,但是,使用盲注,手工测试是需要花费大量的时间的,可能会想到使用sqlmap
猫猫的小阿宁
·
2023-04-13 17:46
优秀文章
sql
数据库
sql注入
、报错注入、HPF
加了料的报错注入题目地址思路复现题目界面文字提示我们post提交username、password。提交username=1&password=1后返回登录失败,两变量分别加'后都返回数据库报错信息,说明都可注入且单引号没有被过滤。查看页面源码由注释提示知,后台验证的sql语句:select*fromuserswhereusername='$username'andpassword='$passw
Hcolehy
·
2023-04-13 14:34
SQL注入
(使用sqli-labs案例以及sqlmap自动化注入工具)
SQL注入
:sqli-labs:一个实验平台,里面有完整的
SQL注入
课程,需要phpstudy环境,因此先安装phpstudy环境phpstudy:https://www.xp.cn/安装后发现数据库和我本机的数据库出现冲突了
魔仙大佬
·
2023-04-13 12:52
测试
sql
网络安全
7.
sql注入
基础1
1.1、自己描述一下
sql注入
原理
SQL注入
指web应用程序对用户输入数据的合法性没有判断,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,以此来实现欺骗数据库服务器执行非授权的任意查询
皮蛋是个臭蛋
·
2023-04-13 12:02
MyBatis基础增删改查
)配置MyBatis相关配置文件3)添加代码4.解决类的属性名和数据表字段名不一致(resultMap)5.增加操作1)返回受影响的行数2)返回自增的id6.修改操作7.删除操作8.参数赋值的两种方式
SQL
爱敲代码的三毛
·
2023-04-13 11:55
web后端
mybatis
java
数据库
mysql
ECShop 2.x/3.x
SQL注入
/远程代码执行漏洞
ECShop2.x/3.x
SQL注入
/远程代码执行漏洞文档说明本文作者:SwBack创作时间:2023-04-0918:41:55知乎:https://www.zhihu.com/people/back
SwBack
·
2023-04-13 11:47
技术研究
渗透测试
sql
php
数据库
ecshop
CVE-2020-7471 Django
sql注入
漏洞复现
0x00简介Django是一个由Python编写的一个开放源代码的Web应用框架。使用Django,只要很少的代码,Python的程序开发人员就可以轻松地完成一个正式网站所需要的大部分内容,并进一步开发出全功能的Web服务Django本身基于MVC模型,即Model(模型)+View(视图)+Controller(控制器)设计模式,MVC模式使后续对程序的修改和扩展简化,并且使程序某一部分的重复利
5f4120c4213b
·
2023-04-13 10:01
【网络安全】
SQL注入
-XFF头注入
XFF头注入注入原理代码分析注入步骤注入原理getenv(‘HTTP_X_FORWARDED_FOR’)获取可以回去远端服务器的ip地址,若没有进行处理我们可以使用HTTP_X_FORWARDED_FOR函数获取ip进行联合查询,从而造成xff注入漏洞HTTP_X_FORWARDED_FOR的值没有进行过滤拼接SQL语句带入查询造成注入。代码分析注入步骤是否可以回显ip添加请求信息:X-Forwa
边缘拼命划水的小陈
·
2023-04-13 08:14
sql
web安全
数据库
【网络安全】
SQL注入
--base64注入
base64注入产生原因注入原理代码分析注入过程产生原因base64一般用于数据编码进行传输,例如邮件,也用于图片加密存储在网页中。数据编码的好处是,防止数据丢失,也有不少网站使用base64进行数据传输,如搜索栏或者id接收参数有可能使用base64处理传递的参数。在php中base64_encode()函数对字符串进行base64编码,既然可以编码也可以进行解码,base64_decode()
边缘拼命划水的小陈
·
2023-04-13 08:13
网络安全
sql
web安全
数据库
若依(Ruoyi)管理系统后台
sql注入
+任意文件下载漏洞
寓意:你若不离不弃,我必生死相依0x01漏洞描述若依管理系统是基于SpringBoot的权限管理系统,后台存在
sql注入
、任意文件下载漏洞,可以读取数据库、服务器上的任意文件内容。0x02FOF
瓜皮辰.
·
2023-04-13 06:30
渗透测试
安全漏洞
Kali搭建DVWA——Web靶场
▣博主主站地址:微笑涛声【www.cztcms.cn】一.DVWA介绍1、DVWA简介DVWA是一款基于PHP和MYSQL开发的web靶场练习平台,集成了常见的web漏洞如
sql注入
,XSS,密码破解等常见漏洞
微笑涛声
·
2023-04-13 04:00
网络安全
linux
DVWA
靶机
DVWA——CSRF 跨站请求伪造
CSRF属于业务逻辑漏洞X
SQL注入
、XSS属于技术漏洞原理利用受害者尚未失效的身份认证信息(cookie,会话等),诱导受害人点击恶意链接或者含有攻击代码的页面,在受害人不知情的情况下,以受害者身份向服务器发送请求
per_se_veran_ce
·
2023-04-13 04:29
DVWA
NSSCTF
NSSCTF[陇剑杯2021]签到[鹤城杯2021]EasyP[第五空间2021]签到题[SWPUCTF2021新生赛]gift_F12[SWPUCTF2021新生赛]easy_sql(
SQL注入
)[SWPUCTF2021
喜气杨杨❀
·
2023-04-13 03:32
CTF
web
BUUCTF-
sql注入
联合查询的创建虚拟表-词频-steghide的使用
第七周第三次目录WEB[GXYCTF2019]BabySQli[GXYCTF2019]BabyUploadCrypto世上无难事old-fashionMisc面具下的flag九连环WEB[GXYCTF2019]BabySQli这是一道很新的题目我们打开环境发现登入注册界面先看看源码有没有提示发现有一个php文件进入看看发现加密先base32再64select*fromuserwhereuserna
双层小牛堡
·
2023-04-13 03:50
mysql
数据库
【安全测试】Web安全测试工具简述
NetsparkerCommunityEdition(Windows)这个程序可以检测
SQL注入
和跨页脚本事件。当检测完成之后它会给你提供一些解决方案。
网络安全负总裁
·
2023-04-13 01:59
web安全
安全
网络
PENE测试.登录页面
1、弱口令漏洞2、用户名枚举3、短信轰炸4、
sql注入
5、反射型xss6、任意用户登录7、任意用户注册8、任意用户密码修改8、未授权访问9、用户接管10、越权注册
Jayden@gzm
·
2023-04-12 23:26
安全
seacms代码审计-
sql注入
1、环境:seacmsv102、注入:http://www.seacmsv10.com/comment/api/index.php?&XDEBUG_SESSION_START=PHPSTORM&gid=1&page=2&type=3&rlist[]=gzm占位符:gzmphpstorm调试,查看执行语句,在mysql拼接语句复现。3、重新注入:http://www.seacmsv10.com/co
Jayden@gzm
·
2023-04-12 22:25
网络安全
代码审计
php
mysql
安全
经验分享
api接口安全测试-Wsdl&Swagger&Webpack
,很多会调用api接口去方便更多信息的管理与调用,但是当使用某些api时,在开发人员未对api接口做出访问策略限制或其他的加固,会导致其他的用户发现api的时候可能会从中获取到敏感信息泄露,或者其他的
sql
告白热
·
2023-04-12 22:37
渗透测试
安全
webpack
前端
django的ORM模型
SQL注入
。ORM,全称Object
小短腿电工
·
2023-04-12 18:27
上一页
57
58
59
60
61
62
63
64
下一页
按字母分类:
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
其他