摘要： 概述 当应用程序将用户输入的内容，拼接到SQL语句中，一起提交给数据库执行时，就会产生SQL注入威胁。 判断漏洞的依据 根据客户端返回的结果来判断提交的测试语句是否成功被数据库引擎执行，如果测试语句被执行了，说明存在注入漏洞。 SQL注入经典判断方法 - 当拼接永真逻辑，如And 1=1 ，返回结果 阅读全文

摘要： 一、旁注 旁注是一种入侵方法，在字面上解释就是－"从旁注入"，利用同一主机上面不同网站的漏洞得到webshell，从而利用主机上的程序或者是服务所暴露的用户所在的物理路径进行入侵。 旁注的条件： 1、可执行任意CMD命令 2、可执行FSO 3、是否IIS单用户权限 用户的网站所在物理路径的确定，因为 阅读全文