摘要: 注入攻击类型与方式 1、union注入 ①:查询 union操作符一般与order by语句配合使用 注意:union前面不能有order by,如果后面也有order by,前面的也是白写了, 所以要想使用order by+union就得把有order by的语句封装成一个对象,再用select 阅读全文
posted @ 2020-12-26 23:01 兰博~~ 阅读(1529) 评论(0) 推荐(1) 编辑
摘要: 一、注入提交方式 1、get提交 一般直接通过浏览器地址栏提交 这个是火狐浏览器做的 2、post提交 3、cookie提交 将参数写入cookie里面 阅读全文
posted @ 2020-12-26 21:16 兰博~~ 阅读(414) 评论(0) 推荐(2) 编辑
摘要: 一、注入分类 用到网站:http://192.168.18.147:666/pikachu/index.php 打开burp suite 1、数字型 有注入点就带入注入漏洞进行操作 mysql> select username,email from member where id=1 or 1=1; 阅读全文
posted @ 2020-12-26 19:27 兰博~~ 阅读(492) 评论(0) 推荐(1) 编辑
摘要: 准备环境 win2003虚拟机 需要安装SQL Server2008 一、原理 注入产生的原因是接受相关参数未经处理直接带入数据库查询操作(注入攻击属于服务端的攻击,因为它攻击的是服务器里面的数据库,xss是客户端的攻击) 注入最终与数据库,与脚本、平台无关 二、or漏洞解析(判断有无注入点的办法: 阅读全文
posted @ 2020-12-26 16:16 兰博~~ 阅读(5300) 评论(0) 推荐(1) 编辑