随笔分类 -  Web安全

Oracle注入—报错注入
摘要:Oracle注入—报错注入 1、Oracle报错注入知识扫盲 一、Oracle报错注入知识扫盲 报错注入 报错注入就是,输入的一些能让数据库出错的语句,数据库会把这个错误回显给我们 OK,,什么语句能让数据库出错??? 先来个知识扫盲吧 Oracle数据库 Dual表,是Oracle数据库里的一个表 阅读全文
posted @ 2021-12-21 23:05 彧先生 阅读(737) 评论(0) 推荐(0) 编辑
MySql注入—DNS注入
摘要:MySql注入—DNS注入 1、DNS注入原理 一、DNS注入原理 DNS注入,是通过查询相应DNS解析产生的记录日志来获取想要的数据 对于sql盲注这样的方法常常用到二分法,非常麻烦而且没有回显,要耗费大量的时间精力, 或许,salmap工具可以呢,其实在实测中,因为工具的高访问频率,很有可能会导 阅读全文
posted @ 2021-12-20 23:45 彧先生 阅读(342) 评论(0) 推荐(0) 编辑
Access注入-偏移注入
摘要:Access注入-偏移注入 1、偏移注入使用场景及方法 一、偏移注入使用场景及方法 偏移注入使用的场景 1)在sql注入时遇到无法查询数据库字段名时,比如系统自带的数据权限不够无法访问系统自带库 2)猜到表名无法猜到字段名时 ...... 开始之前需要需要学习一些知识 .* 正则函数 >>> 匹配所 阅读全文
posted @ 2021-12-20 10:46 彧先生 阅读(593) 评论(0) 推荐(0) 编辑
Access注入-Cookie注入
摘要:Access注入-Cookie注入 1、Cookie简单介绍 2、Cookie注入原理及方法 一、Cookie简单介绍 What is Cookie? 储存在用户本地终端上的数据 类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密), 阅读全文
posted @ 2021-12-19 22:52 彧先生 阅读(221) 评论(0) 推荐(0) 编辑
SQL注入详细讲解概括—宽字节注入
摘要:SQL注入详细讲解概括—宽字节注入 1、宽字节注入原理 2、宽字节注入方法 一、宽字节注入原理 What is 宽字节? 字符大小为一个字节时为窄字节 字符大小为两个及以上的字节为宽字节 英文26个字符所以1个字节就够用了,而汉字字符数太多,一个字节显然不够用 宽字节注入原理 为了防止网站被SQL注 阅读全文
posted @ 2021-12-18 19:01 彧先生 阅读(3721) 评论(0) 推荐(1) 编辑
SQL注入详细讲解概括—盲注
摘要:SQL注入详细讲解概括—盲注 1、盲注简单理解 2、盲注必学函数 3、布尔盲注 4、时间盲注 一、盲注简单理解 What is 盲注? It is 在服务器没有错误回显的时候完成的注入攻击 数据库把报错信息屏蔽掉了,即使数据库在执行错误的SQL语句时候出错,页面也不显示错误,这样就不知道恶意语句有没 阅读全文
posted @ 2021-12-15 15:40 彧先生 阅读(512) 评论(0) 推荐(0) 编辑
SQL注入详细讲解概括-GET注入、POST注入、HEAD注入
摘要:SQL注入详细讲解概括-GET注入、POST注入、HEAD注入 1、SQL注入流程 2、GET注入 3、POST注入 4、HEAD注入 一、SQL注入流程 1、SQL注入流程 · 寻找注入点—与数据库交互的地方,比如登录框,搜索框、URL地址栏、登陆界面、留言板等等 · 判断是否存在注入点,判断数据 阅读全文
posted @ 2021-12-11 22:05 彧先生 阅读(8111) 评论(1) 推荐(2) 编辑
渗透测试常用工具讲解
摘要:渗透测试常用工具安装 1、环境安装 2、salmap安装与简单使用 3、BurpSuite安装与简单使用 一、环境安装 环境安装,环境是软件运行的先决条件。本篇文章要安装的两款软件都依赖环境运行 ,sqlmap依赖Python环境,BurpSuite依赖JAVA环境,要先安装软件所需的环境,在进行环 阅读全文
posted @ 2021-11-29 15:48 彧先生 阅读(716) 评论(0) 推荐(0) 编辑
SQL注入的原理与分析
摘要:SQL注入的原理与分析 1、SQL注入的本质 2、部分SQL语句 3、SQL注入流程 一、SQL注入的本质 SQL注入的本质,就是把用户输入的数据当作代码执行 Web应用程序对用户输入的数据校验处理不严或者根本没有校验,致使用户可以拼接执行SQL命令 两个必要关键的条件: 第一,用户能够控制输入 第 阅读全文
posted @ 2021-11-28 00:08 彧先生 阅读(774) 评论(0) 推荐(0) 编辑
信息收集
摘要:信息收集 1、需要收集什么信息 2、如何收集所需信息 一、需要收集什么信息 1、whois信息 whois,指的是域名注册时留下的信息,比如管理员留下的姓名、手机号码、邮箱等信息。 whois正查,网站查询信息。whois反查,信息查询网站。 whois信息的作用,域名注册人可能就是网站管理员,可以 阅读全文
posted @ 2021-11-26 23:53 彧先生 阅读(548) 评论(0) 推荐(0) 编辑
后端基础PHP—PHP表单验证
摘要:后端基础PHP—PHP表单验证 1、PHP表单 2、PHP连接MySQL 一、PHP表单介绍 关于表单 PHP表单,在网页中主要负责采集数据 通俗理解,在银行办业务需要填一张纸质的表,需要向表上填信息,那张表称为表单。那么在网页上需要我们填信息的也称为表单 表单标签、表单域、表单按钮 表单标签,处理 阅读全文
posted @ 2021-11-25 12:13 彧先生 阅读(235) 评论(0) 推荐(0) 编辑
后端基础PHP-PHP简介及基本函数
摘要:后端基础PHP-PHP简介及基本函数 1、PHP简单介绍 2、PHP基本语法 一、PHP简单介绍 PHP(超文本预处理器),是一种通用的开源脚本语言,标准的后端语言 比较常见的后端语言,ASP|ASPX、PHP、JSP php是将程序嵌入到HTML、CSS、JS的文档当中去执行 PHP支持几乎所有流 阅读全文
posted @ 2021-11-22 23:57 彧先生 阅读(618) 评论(0) 推荐(0) 编辑
后端基础SQL—数据库简介与SQL语法
摘要:数据库简介与SQL语法 1、数据库简介 2、数据库结构 3、SQL语句 4、SQL基本语法 5、MySQL基础查询语句 6、高级查询与子查询 7、渗透测试常用函数 8、判断闭合类型 一、数据库简介 数据库(Database)就是一个存放数据的仓库,这个仓库是按照一定的数据结果(数据结构是指数据的组织 阅读全文
posted @ 2021-11-21 21:33 彧先生 阅读(435) 评论(0) 推荐(0) 编辑
Web安全前端基础
摘要:Web安全前端基础 1、Web前端介绍 2、前端代码语言简单学习 一、Web前端介绍 web前端就是前端网络编程,也被认为是用户端编程,是为了网页或者网页应用,而编写HTML,CSS以及JS代码,所以用户能够看到并且和这些页面进行交流 HTML+JS+CSS HTML:前端网页的框架 JS:丰富网页 阅读全文
posted @ 2021-11-20 21:14 彧先生 阅读(137) 评论(1) 推荐(0) 编辑
Web服务器通信原理
摘要:Web服务器通信原理 1、区分系统 2、DOS系统 3、IP地址 4、域名、DNS 5、端口 6、HTTP协议 7、Web容器 8、整个流程 一、区分系统 主要三个系统Windows、Linux、Mac 如何区分,根据盘符,只有Windows的文件路径有盘符,像C:、D: 二、DOS系统 微软图形界 阅读全文
posted @ 2021-11-19 23:48 彧先生 阅读(213) 评论(0) 推荐(0) 编辑
快速搭建Web安全测试环境
摘要:快速搭建Web安全测试环境 1、虚拟机安装 2、网站搭建 一、虚拟机安装 下载VMware虚拟机,Windows 虚拟机 | Workstation Pro | VMware | CN 安装VMware虚拟机,虚拟机的许可密钥,自行百度。 VMware虚拟机软件安装告一段段落。 下载虚拟机镜像,MS 阅读全文
posted @ 2021-11-19 22:44 彧先生 阅读(556) 评论(0) 推荐(0) 编辑