摘要:
截获数据 将请求保存到桌面文档里 扫描username是否存在注入漏洞 探测数据库中的数据包 探测当前字段的具体值 阅读全文
摘要:
原理: 暴力破解无法解决问题,可以考虑界面与数据库交互,用户可控可以考虑sql注入 实验: burp wuite 万能密码测试 百度中输入万能密码 存储为txt文本文件 发送至intruder模块 这样进行注入 文章注入: 判断页面是否存在sql注入漏洞 and 1=2 不显示或者报错‘ 阅读全文
摘要:
抓包 基于后台验证 更改发送的数据 【密码】123456 基于前台验证 只在于前台验证密码就可以随便试了,验证码形同虚设 阅读全文
摘要:
使用PK靶机 【目标网页】 四种攻击方式 sniper 狙击手模式:使用一组payload集合,依次替换,对服务器发送请求 battering ram 攻城车:将一组payload集合替换到相应的变量中&&,与狙击手不同的是,攻城车使用一个数据替换全部的,而狙击手只替换一个 pitchfork 草叉 阅读全文