- 博客(6)
- 收藏
- 关注
RSS订阅原创 命令执行漏洞
管道符,直接执行后面的语句(前一个命令的标准输出(stdout)传递给后一个命令的标准输入(stdin))如果前面的语句出错,则执行后面的语句(或)前面的语句可真可假,后面的语句一定会执行前面的语句为真时,才执行后面的语句管道符,直接执行后面的语句如果前面的语句出错,则执行后面的语句(或)执行完前面的,就接着执行后面的语句前面的语句为真时,才执行后面的语句列出当前目录的内容列出根目录的内容查看文件内容。
2025-05-17 15:03:55
842
原创 文件上传漏洞介绍
在现代互联网的web应用程序中,上传文件是一种常见的功能,因为它有助于提高业务效率,比如社交网站中,允许用户上传图片、视频、头像和许多其他类型的文件。然而向用户提供的功能越多,web应用受到攻击的风险就越大。如果web应用存在文件上传漏洞,那么恶意用户就可以利用文件上传漏洞将可执行脚本程序上传到服务器中,获取网站的权限,或者进一步危害服务器。上传文件时,如果服务器代码未对客户端上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的情况,包括。
2025-05-14 23:47:01
409
原创 XSS注入
跨站脚本(Cross-Site Scripting,XSS/CSS)是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户的输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码(通常包括HTML代码和客户端javascript脚本)注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者可能采取Cookie资料窃取、会话劫持、钓鱼欺骗等各种攻击。本质:前端代码注入XSS的分类1、反射型XSS。
2025-05-10 10:52:49
2223
原创 SQL注入的防御
2.用户的传参到达后端后,没有经过严格的校验,而被直接带入sql语句中执行(SQL防御一般从这里入手)1 预处理语句:prepare 预处理名字 from ‘sql语句’:预编译一次,可以多次执行。用来解决一条SQL语句频繁执行的问题。每个代码的段的执行都要经历:词法分析——语法分析——编译——执行。2 执行预处理:execute 预处理名字 [using 变量]1.前端的传参点可控(这个原因一般无法避免)SQL注入的注入点分类:数字型 和 字符型。
2025-05-05 15:20:05
127
原创 SQL注入之布尔盲注
布尔盲注是一种基于布尔逻辑的SQL注入攻击技术,主要用于在无法直接获取数据库报错信息的情况下,通过观察应用程序对不同SQL语句执行结果的响应差异来推断数据库中的信息
2025-05-05 14:47:51
212
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人