摘要:
1 不同请求方式的注入 1.1 GET请求方式的SQL注入 前面的所有案例均为GET请求方式进行的SQL注入,GET请求方式,是将数据直接拼接在URL中进行 burpsuite对页面进行抓包 可以发现,http使用的是get请求,同时在URL中也可以看得到参数的传递 通过sqlmap进行注入 sql 阅读全文
摘要:
1 时间盲注 时间盲注是一种比布尔盲注更极端的情况,它适用于无论输入与否前端已经不反馈任何东西了 <?php //including the Mysql connect parameters. include("../sql-connections/sql-connect.php"); error_ 阅读全文
摘要:
当显注和报错注入的sql语句的执行结果被程序限制不回显到前端,我们就得考虑对数据进行猜解判断,通过web系统的反应,来获取数据,这个判断或尝试过程就叫盲注 盲注分为两类:布尔盲注和时间盲注 1 布尔盲注 布尔盲注需要web系统对于数值输入有一定的反应 例如:选择SQL Injection(Bind) 阅读全文
摘要:
随着程序开发者的安全意识逐渐提升,不会允许我们直接获取数据,但反观他有报错信息泄露的问题存在,我们就可以尝试让报错信息夹带我们需要的信息完成数据的回显 1 报错注入原理 例如: if($row) { echo 'You Login name:'.$row['username']; }else{ pr 阅读全文
摘要:
1 显注 显注通常采取union联合SQL语句的方式进行,又称为union联合注入 1.1 union操作符介绍 在注入中有一个函数叫做union,作用是联合查询,常被用于数据库注入 select username,password from users where id=1 union selec 阅读全文
摘要:
注意:此章节前,请务必完成Mysql数据库学习 1 SQL注入简介 SQL全称是“结构化查询语言”,最早是IBM为关系数据库系统SYSTEMR开发的一种查询语言,SQL语言结构简洁,功能强大,简单易学,所以IBM于1981年推出后得到了广泛的应用 在1998年12月的《Phack》第54期,名为rf 阅读全文
摘要:
前端三剑客可以理解是html是骨骼框架,css是外观,js是动作,我们已经将骨骼学会,并不能做出一个好看的框架,需要css对它进行美化 1 CSS简介 CSS就是Cascading Style Sheet的缩写,中文译作“层叠样式表”或者是“级联样式表”,是用于控制网页外观处理并允许将网页的表现与内 阅读全文
摘要:
1 表格标签 例如关系型数据库和Excel,对于数据的展示,表格会非常直观,因此html当中也存在表格标签 <table border="1" cellpadding="5"> <thead> <!-- 表头:字段信息 --> <tr> <!-- 数据行 --> <th>username</th> 阅读全文
摘要:
所有的网页都是以HTML、CSS、Javscript作为基础搭建的,他们又被称为前端三剑客,而HTML(超文本标记语言)又是其中的骨架,他需要搭建起网页的基础框架和包含文本、图片、视频、音频、链接等元素的图文内容让浏览器进行解析,通常后缀名为(.html或者.htm) 1 HTML注释 俗话说:注释 阅读全文
摘要:
1 前端简介 在计算机界面中,任何能够与用户打交道的界面都被称为前端,它包含了软件客户端的展示页面,浏览器渲染出来的网页页面,甚至计算机系统的桌面,简单概括就是用户能看到的一切都是属于前端,而软件中在幕后默默运行程序逻辑与中间件与网络与数据库进行交互的部分则被称之为后端 在当前阶段,我们泛指的前端通 阅读全文