摘要:
CSRF(Cross-site request forgery) CSRF,全称Cross-site request forgery,翻译过来就是跨站请求伪造,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的 阅读全文
摘要:
XSS XSS,全称Cross Site Scripting,即跨站脚本攻击,某种意义上也是一种注入攻击,是指攻击者在页面中注入恶意的脚本代码,当受害者访问该页面时,恶意代码会在其浏览器上执行,需要强调的是,XSS不仅仅限于JavaScript,还包括flash等其它脚本语言。根据恶意代码是否存储在 阅读全文
摘要:
File Inclusion File Inclusion,意思是文件包含(漏洞),是指当服务器开启allow_url_include选项时,就可以通过php的某些特性函数(include(),require()和include_once(),require_once())利用url去动态包含文件, 阅读全文
摘要:
Command Injection Command Injection,即命令注入,是指通过提交恶意构造的参数破坏命令语句结构,从而达到执行恶意命令的目的。PHP命令注入攻击漏洞是PHP应用程序中常见的脚本漏洞之一 前置知识: Command 1&&Command 2 先执行Command 1,执行 阅读全文
摘要:
官网下载地址:https://code.visualstudio.com/# 汉化包 可以右击在浏览器里打开 VSCode 前端常用插件: https://www.cnblogs.com/sanday/p/10162713.html 常用字体 左面图标说明: 新建文件 新建文件夹 阅读全文
摘要:
DVWA简介 DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴定的PHP/MySQL Web应用,旨在为安全专业人员测试自己的专业技能和工具提供合法的环境,帮助web开发者更好的理解web应用安全防范的过程。 DVWA共有十个模块,分别是Brute 阅读全文
摘要:
less 54 ?id=1 http://192.168.50.100/sqli-labs/Less-54?id=1' order by 3 --+ 正常 http://192.168.50.100/sqli-labs/Less-54?id=1' order by 4 --+ 不正常 ?id=0' 阅读全文
摘要:
lines terminated by xxx 以xxx为结尾:select '<?php @eval($_ POST[crow]);?>' into outfile 'C:\pbpstudy\PHPTutorilWWW.crow.pbp’ linesterminated by 0x363636;最 阅读全文
摘要:
less38Stacked injections:堆叠注入。从名词的含义就可以看到应该是一堆sql语句(多条)一起执行。 而在真实的运用中也是这样的,我们知道在mysql中,主要是命令行中,每一条语句结尾加 ;表示语句结束。 这样我们就想到了是不是可以多句一起使用。这个叫做stacked injec 阅读全文
摘要:
less34 admin admin ad ad a%df’ a%df’ 登录失败 a%df\' uname=a%25df%5C%27&passwd=1111&submit=Submit a%df%5C%27 删除25 改包后 再次执行一次 然后再修改包 猜列数 也可以使用第二种方法 ' > �' 阅读全文