摘要:
RCE漏洞 RCE(Remote Code/Command Execute)远程代码/命令执行 漏洞产生原因:在Web应用中开发者为了灵活性,简洁性等会让应用调用代码或者系统命令执行函数去处理,同时没有考虑用户的输入是否可以被控制,造成代码/系统命令执行漏洞 漏洞产生条件:可控变量,漏洞函数 漏洞挖 阅读全文
摘要:
文件上传漏洞 原理: web应用中对于上传文件的功能没有进行严格的验证和过滤, 导致攻击者可以上传任意文件,例如一句话木马(又被称为Webshell)控制整个网站 经典的一句话木马: <?php @eval($_POST['shell']);?> $_POST[]:在php中是一个预定义好的变量,通 阅读全文
摘要:
XSS(Cross-site scripting跨站脚本) 跨站脚本攻击XSS(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏 阅读全文
摘要:
首先了解下Mysql表结构 mysql内置的information_schema数据库中有三个表非常重要1 schemata:表里包含所有数据库的名字2 tables:表里包含所有数据库的所有的表,默认字段为table_name3 columns:三个列非常重要 TABLE_SCHEMA:数据库名 阅读全文