摘要: TOP1-注入 简单来说,注入往往是应用程序缺少对输入进行安全型检查所引起的,攻击者把一些包含指令的数据发送给解释器,解释器会把收到的数据转换成指令执行。常见的注入包括sql注入,--os-shell,LDAP(轻量目录访问协议),xpath(XPath即为XML路径语言,它是一种用来确定XML(标 阅读全文
posted @ 2018-07-17 17:03 wendy9593 阅读(1459) 评论(0) 推荐(0) 编辑
摘要: 1.1 Web应用的漏洞分类 1、信息泄露漏洞 信息泄露漏洞是由于Web服务器或应用程序没有正确处理一些特殊请求,泄露Web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。 造成信息泄露主要有以下三种原因: --Web服务器配置存在问题,导致一些系统文件或者配置文件暴露在互联网 阅读全文
posted @ 2018-07-17 16:56 wendy9593 阅读(2402) 评论(0) 推荐(0) 编辑
摘要: sqlmap使用: 注入类型有四种分别为:boolean-based blind、error-based、stacked queries、inline query。 sqlmap.py -u 'http://www.example.com/xxx.php?id=1' #-u 注入点 检测注入点是否可 阅读全文
posted @ 2018-07-17 15:28 wendy9593 阅读(284) 评论(0) 推荐(0) 编辑
摘要: 1、下载软件 phpStudy:http://www.phpstudy.net/phpstudy/phpStudy20161103.zip(官网链接,内附详细安装教程) DVWA:http://www.dvwa.co.uk 2、安装软件 安装phpStudy,按照内附说明安装(很简单),MySQL数 阅读全文
posted @ 2018-07-17 09:36 wendy9593 阅读(640) 评论(0) 推荐(0) 编辑