2020年2月18日
记一次由XML引起的XSS
摘要: 记一次由XML引起的XSS 同源策略: 同源策略(Same origin policy)是一种约定,它是浏览器最核心也最基本的安全功能,如果缺少了同源策略,则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基础之上的,浏览器只是针对同源策略的一种实现。 首先,通过目录探测发现目标站点存 阅读全文
posted @ 2020-02-18 10:34 rebootORZ 阅读(1294) 评论(0) 推荐(0) 编辑
利用过滤器缺陷进行权限绕过
摘要: 主要针对: 使用 request.getRequestURI() 及 startWith、endWith进行校验的情况。 方法概括: 非标准化绕过: 尝试通过在URI引入类似/login(白名单接口,可以通过测试得出,一般登陆都是不需要权限 校验的)/…/的样式,伪造白名单接口,进行权限绕过。例如: 阅读全文
posted @ 2020-02-18 10:32 rebootORZ 阅读(125) 评论(0) 推荐(0) 编辑
2020年2月11日
接码平台
摘要: https://www.materialtools.com/ http://receive-sms-online.com http://receive-sms-now.com http://hs3x.com http://twilio.com http://freesmsverification.c 阅读全文
posted @ 2020-02-11 15:28 rebootORZ 阅读(381) 评论(0) 推荐(0) 编辑
2020年2月10日
SQL注入靶场Sqli-Labs 1-65关全部通关笔记【持续更新】
摘要: Less -1 基于报错的单引号字符型GET注入 源码: 1 <?php 2 //including the Mysql connect parameters. 3 include("../sql-connections/sql-connect.php"); 4 error_reporting(0) 阅读全文
posted @ 2020-02-10 22:21 rebootORZ 阅读(3226) 评论(0) 推荐(0) 编辑
报错注入【持续更新】
摘要: MySQL - floor()报错注入 floor()报错注入中涉及到: rand() count() group by() payload: and (select 1 from (select count(*),concat((payload),floor (rand(0)*2))x from 阅读全文
posted @ 2020-02-10 21:35 rebootORZ 阅读(64) 评论(0) 推荐(0) 编辑
SQL注入入门精讲-绕过技术
摘要: 由于有道云的笔记无法直接复制上传,所以选择用分享连接的方式进行。 文档:3-SQL注入绕过技术.note链接:http://note.youdao.com/noteshare?id=39a43966b529615c1c381efa8aa5348f&sub=5E00D00E7C1E4549BD2BAA 阅读全文
posted @ 2020-02-10 16:52 rebootORZ 阅读(26) 评论(0) 推荐(0) 编辑
SQL注入入门精讲-进阶
摘要: 由于有道云的笔记无法直接复制上传,所以选择用分享连接的方式进行。 文档:2-SQL注入进阶.note链接:http://note.youdao.com/noteshare?id=a2111551b132a33bc7bdd288b179761a&sub=C593F002CE7A4A73923E4A4D 阅读全文
posted @ 2020-02-10 16:51 rebootORZ 阅读(34) 评论(0) 推荐(0) 编辑
SQL注入入门精讲-基础
摘要: 由于有道云的笔记无法直接复制上传,所以选择用分享连接的方式进行。 文档:1-SQL注入基础.note链接:http://note.youdao.com/noteshare?id=38f2a04363c5f78afc71d8451dee8e3c&sub=671F048F94C04D00A5688942 阅读全文
posted @ 2020-02-10 16:28 rebootORZ 阅读(35) 评论(0) 推荐(0) 编辑
2020年2月9日
SQL注入绕过汇总
摘要: 1.绕过空格(注释符/* */,%a0) 两个空格代替一个空格,用Tab代替空格,%a0=空格: %20 %09 %0a %0b %0c %0d %a0 %00 /**/ /*!*/ 最基本的绕过方法,用注释替换空格: /* 注释 */ 使用浮点数: select * from users wher 阅读全文
posted @ 2020-02-09 00:28 rebootORZ 阅读(202) 评论(0) 推荐(0) 编辑
2020年2月7日
利用MSF+Shadon搜索网络摄像头
摘要: 1.msf使用shodan 输入命令use auxiliary/gather/shodan_search 2.这里有个参数SHODAN_APIKEY前往shodan官网,注册账号登录后会自动分配,复制过来即可: 3.我们将所需要的参数进行填写: set QUERY webcamxp 运行后,可以看到 阅读全文
posted @ 2020-02-07 20:08 rebootORZ 阅读(1317) 评论(0) 推荐(0) 编辑
下一页