摘要:
解析漏洞总结Author:laterainFrom:90sec------------------------------------------------------------------------IIS 6.0目录解析:/xx.asp/xx.jpg xx.jpg可替换为任意文本文件(e.... 阅读全文
摘要:
(1)普通的XSS JavaScript注入 (2)IMG标签XSS使用JavaScript命令 (3)IMG标签无分号无引号 (4)IMG标签大小写不敏感 (5)HTML编码(必须有分号) (6)修正缺陷IMG标签 ”> (7)formCharCode标签(计算器) (8)UTF-8... 阅读全文
摘要:
Mysql sqlinjection code# %23 -- /* /**/ 注释UNION+SELECT+1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,... 阅读全文
摘要:
11种绕过防注入的办法1、运用编码技术绕过如URLEncode编码,ASCII编码绕过。例如or 1=1即%6f%72%20%31%3d%31,而Test也可以为CHAR(101)+CHAR(97)+CHAR(115)+CHAR(116)。2、通过空格绕过如两个空格代替一个空格,用Tab代替空格等,... 阅读全文
摘要:
PHP网页的安全性问题 针对PHP的网站主要存在下面几种攻击方式: 1.命令注入(CommandInjection)2.eval注入(EvalInjection) 3.客户端脚本攻击(scriptInsertion) 4.跨网站脚本攻击(CrossSitescripting,XSS)5.SQ... 阅读全文
摘要:
1.注入攻击And1=11=2OrderbyxxUnionselect1,2,列名,....From表名2.未验证的上传页面经典上传截取拿shell(修改当前页面的参数,达到伪造恶意攻击)经典上传抓包拿shell(抓数据包,利用工具去自动判断验证方式,修改并上传)3.万能密码与登陆框注入'or'='... 阅读全文