摘要:
较为简单得介绍,具体内容查看渗透测试体系化学习笔记第15篇 阅读全文
摘要:
Access,Mysql,mssql,mangoDB,postgresql,sqlite,oracle,sybase JSON类型的数据注入: 键名:键值 {"a":"1"} 不一定闭合",看情况进行闭合 闭合的是单引号的' 各种数据库的特点: 数据库架构组成,数据库高权限操作 各种注入工具的使用: 阅读全文
摘要:
简要明确参数类型 数字,字符,搜索,json等 简要明确请求方法 GET,POST,COOKIE,REQUEST,HTTP头 其中SQL语句干扰符号:' " % ) } 等,具体查看用法 非字符串需要单,双引号括起 需要闭合,才能形成and 1=1 逻辑判断 前提是寻求请求方法,然后来进行测试。 需 阅读全文
摘要:
MYSQL注入中首先要明确当前注入点权限,高权限注入时有更多的攻击手法,有的能直接进行getshell操作,其中也会遇到很多的阻碍,相关防御手法也要明确,所谓知己知彼,百战不殆。作为安全开发工作者,攻防兼备。 注入点权限是否为root,取决于连接数据库的文件。这也决定了高权限注入及低权限注入 跨库查 阅读全文
摘要:
SQL注入漏洞将是重点漏洞,分为数据库类型,提交方法,数据类型等方式。此类漏洞是WEB漏洞中的核心漏洞,学习如何的利用,挖掘,和修复是重要的。 SQL注入的危害 SQL注入的原理 可控变量,带入数据库查询,变量未存在过滤,或者过滤不严谨。 b,c存在注入 搭建靶场 学习SQL注入简单类型: 如何判断 阅读全文
摘要:
一般注入分类: 时间,布尔,报错,堆,联合 有关函数介绍: current_user() 当前用户名 session_user() 链接数据库的用户名 @@basedir mysql安装路径 @@datadir 数据库存储的路径 @@version_compile_os操作系统版本 MYSQL中常用 阅读全文
摘要:
简述WEB层面上的漏洞以及类型,具体漏洞的危害等级, 如何形成以及如何发现 右边权重大于左边 CTF,SRC,红蓝对抗,实战 简要说明以上漏洞危害 简要说课以上漏洞等级划分 简要说明以上漏洞重点内容 简要说明以上漏洞形势问题 SQL注入漏洞-数据库操作危害 目录遍历漏洞-源码结构泄露危害 文件读取漏 阅读全文