08 2022 档案
摘要:sqlmap使用指南 什么是sqlmap? Sqlmap是一款由Python语言编写的开源sql注入检测、利用工具,它可以自动检测和利用sql注入漏洞,并且配备了强大的检测引擎,拥有丰富的特性这其中包括了指纹识别、对系统的控制、自动识别密码的散列格式并暴力破解等等,加之非常多的参数,是一款安全从业人
阅读全文
摘要:一、如何判断一个模板引擎是什么? 1. 根据编程语言 2. 根据下述图片 二、判断模板注入的注入点的方法 找这样的场景:你输入了什么,就输出了什么 基本上就两种情况 1. SSTI 2. XSS 三、Smarty SSTI 1. 什么是Smarty SSTI Smarty是一个PHP的模板引擎,提供
阅读全文
摘要:原理 XSS是跨站脚本攻击,是指用户向web页面插入js代码,当用户浏览这个页面时,web中嵌入的js代码会被执行。xss漏洞主要是对输入和输出没有严格控制与检验,导致输入的脚本到前端时可以被执行从而产生一些危害。 XSS的分类 思维导图 反射型 交互的数据一般不存在数据库中,例如查询等页面 xss
阅读全文
