04 2020 档案
摘要:学习安全相关的技术已经半年,工作上能借助工具做一些简单的任务。个人的感觉是安全要学的东西实在太多了2333,而且很多知识都需要深入理解而不是简单知道是什么就行了。。。咱对渗透的流程也不是很熟练,所以找了靶机来练习,先从简单的开始吧,fighting~ Toopo是VulnHub的一个难度为Begin
阅读全文
摘要:预防sql注入最好的方法是预编译。 用java做实验。没有使用预编译的代码: Statement statement = con.createStatement(); String sql = "select * from users where username = '" + username +
阅读全文
摘要:根据owasp的xss防御攻略(https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html)提出的几条规则来进行xss防御实验。 下面是一个存在存储型XSS漏洞的留言板
阅读全文
摘要:传统漏洞之前学习过一段时间,但在实际工作中用的并不顺手,我想找个系统点的靶场来进行练习,于是找到了Web for Pentester。 Web for Pentester是PentesterLab提供的靶场,ISO下载地址:https://www.pentesterlab.com/exercises
阅读全文
摘要:题目 解题过程 试了一下单引号,发现存在注入,数据库类型是MariaDB 第一反应是工具跑一下>_<,跑出数据库名称:supersqli 继续跑表名,没跑出来,尝试了下执行sql,也木有任何返回。。。 看了一下当前用户是root,但不是dba,难道是木有权限。。。 再回到页面试了下,发现有过滤关键字
阅读全文
