摘要:
CSRF详解 简介 CSRF(Cross Site Request Forgery),也就是跨站域请求伪造,也可以缩写为XSRF,是一种对网站的恶意利用。虽然看起来跟XSS有点相像,但是两者基本是完全不同的。XSS利用的是站点内的信任用户,而CSRF则通过伪装成来自受信任用户的请求来利用受信任的 阅读全文
摘要:
XSS-labs通关手册 在做XSS-labs之前建议先了解相关XSS知识,比如我下面这篇博客: XSS详解 - 三木森林 - 博客园 (cnblogs.com) Level 1 来到level1可以看到页面显示如下 经观察发现,该页面会显示由我们GET请求发送的变量name。 看一下页 阅读全文
摘要:
XSS 参考文章:XSS(跨站脚本攻击)详解 - 墨鱼菜鸡 - 博客园 (cnblogs.com) 简介 XSS,即跨站脚本攻击,英文全称Cross Site Scripting,为了与层叠样式表CSS相区别,才规定跨站脚本的攻击缩写为XSS。 XSS往往使恶意攻击者往Web页面插入恶意Sc 阅读全文
摘要:
密码学之公钥密码算法 公钥密码算法简介 公钥密码算法在加密和解密中使用一对不同的密钥,其中一个密钥公开,称为公钥,宁一个密钥保密,称为私钥,且由公钥求解私钥计算是不可行的的。顾名思义,公钥是公开的。 RSA公钥密码体制 简介 是迄今为止理论上最为成熟完善的公钥密码体制。也是目前广泛应用的公钥 阅读全文
摘要:
密码学之分组密码算法 简介 分组密码算法(Block Cipher Algorithm)是将输入数据划分成固定长度的组进行加密和解密的一类对称密码算法。其安全性主要以来于密钥,通信双方使用相同的密钥加密和解密。其优势有速度快,易于标准化和便于软硬件实现等特点。 下标集: ₀ ₁ ₂ ₃ ₄ 阅读全文
摘要:
sql注入之堆叠注入 堆叠注入,其实很简单,就是将语句堆叠在一起进行查询。 但是有一个使用条件,那就是需要开启mysql_multi_query(),该函数支持多条sql同时执行,用;分隔即可。 例如 select * form user where id=1;show database 阅读全文
摘要:
sqli-labs通关手册(page-2 part) Less - 21 Cookie injection - base64 encoded-single quotes and parenthesis(基于错误的单引号括号cookie的base64编码注入) 使用上诉的语句注入,爆出以下错误 阅读全文
摘要:
sql注入之宽字节注入 在介绍宽字节注入之前,首先引入php的一个防御函数和一种编码格式GBK 魔术引号 magic_quotes_gpc 这是php自带的一种防御函数,该函数会解析用户提交的数据,如post,cookie等提交过来的数据,并对这些数据中的特殊字符添加转义符号'\',以确保数据不会出 阅读全文
摘要:
sql注入之HTTP参数污染 简介 http参数污染即HPP(HTTP Parameter Pollution),是一种注入型漏洞,攻击者通过 在HTTP请求中插入特定的参数来发起攻击。如果web应用中存在这样的漏洞可以被攻击者利用来进行客户端或服务器端的攻击。 在sql注入的应用则是可以达到绕过s 阅读全文
摘要:
sqli-labs通关手册(page-1 part) 基础知识 字符型注入和数字型注入 当输入的参数为整形时,存在注入漏洞,则是数字型注入,而字符型注入的参数是字符串。所以后面直接加上逻辑语句是会执行的。 数字型不需要单引号来闭合,而字符串一般需要通过单引号来闭合的。如果后面直接加上逻辑语句会被闭包 阅读全文