Loading

摘要: less 54 需要从数据库的CHALLENGES表中取出key值输入,输入对了才算通过,但是只能做10次尝试。 这里id被单引号包裹,注意闭合单引号即可,剩下的就可以参照less 1获取表中信息即可 下面只列出来步骤截图: 执行:?id=0' union select 1,2,3 --+ 执行:? 阅读全文
posted @ 2020-03-20 18:19 Zh1z3ven 阅读(139) 评论(0) 推荐(0) 编辑
摘要: CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如 阅读全文
posted @ 2020-03-20 17:11 Zh1z3ven 阅读(311) 评论(0) 推荐(0) 编辑
摘要: 存储型XSS : 存储XSS,会把攻击者的数据存储在服务器端,攻击行为将伴随着攻击数据一直存在。提交JS攻击代码存储到数据库然后再输出。 low: 观察源码: <?php if( isset( $_POST[ 'btnSign' ] ) ) { // Get input $message = tri 阅读全文
posted @ 2020-03-20 17:05 Zh1z3ven 阅读(752) 评论(0) 推荐(0) 编辑