郁闷的大象

摘要： 当我们想要测试某个站点时，一般会架上注入工具对其狂轰乱炸，这样做虽然有时能找到注入点，但还是有些盲目，我个人的看法是：如果有源码的话，就从源码入手，在源码中查找注入点。对于源码，有些朋友可能觉得很难，其实源码并不神秘，它也是有一定的语法规则的，看一套优秀的源码就像是在欣赏一部精美的电影，只要我们坚持每天看一些优秀源码，再加上百度这个老师的指点，用不了多久，源码的神秘面纱就会被你揭去。闲话少说，下面我们就开始查找注入点，目标有两个：一是Request，二是SQL语句。 说到Request，这个是asp程序中的一个内建对象，怎么？不懂？那就跟我先来恶补一下吧！它是用来获取客户端信息的，有五种... 阅读全文

摘要： SQL(STructured Query Language)是一种数据库查询和程序设计语言，用於存取数据以及查询、更新和管理关联式数据库系统。 SQL注入(SQL Injection)程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL注入。 那么注入点那就是存在安全隐患的网页了. 至于注入原理,不是今天所谈论的话题,大家感兴趣可以从网上搜索下,这方面的资料很多. SQL注入这个历史悠久的漏洞,伴随着B/S模式应用开发的发展,深受广大黑客爱好者的喜爱,从一开始... 阅读全文