摘要: TOP1-注入 当不受信任的数据作为命令或查询的一部分发送到解释器时,会发生注入漏洞,例如SQL,NoSQL,OS,LDAP注入(轻量目录访问协议),xpath(XPath即为XML路径语言,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言),HQL注入等。 危害如下: 注入可 阅读全文
posted @ 2021-09-02 16:54 hirak0 阅读(469) 评论(0) 推荐(0) 编辑
摘要: 思路流程 信息收集 漏洞挖掘 漏洞利用&权限提升 清除测试数据&输出报告 复测 问题 深信服一面: SQL注入防护 为什么参数化查询可以防止sql注入 SQL头注入点 盲注是什么?怎么盲注? 宽字节注入产生原理以及根本原因 产生原理 在哪里编码 根本原因 解决办法 sql里面只有update怎么利用 阅读全文
posted @ 2021-09-02 16:29 hirak0 阅读(103) 评论(0) 推荐(0) 编辑
摘要: 基本命令 intitle: 从网页标题中搜索指定的关键字 inurl: 从url中搜索指定的关键字 intext: 从网页中搜索指定的关键字 filetype: 搜索指定的文件后缀 site: 在某个指定的网站内搜索指定的内容 link: 搜索与该链接有关的链接 高级搜索 intext 寻找正文中含 阅读全文
posted @ 2021-09-02 15:20 hirak0 阅读(589) 评论(0) 推荐(0) 编辑