Web安全
关注
分享
扫一扫
文章平均质量分 59
@小粥
一个立志成为好BA的boy!(BA=保安)
展开
-
SQL注入检测方法与攻击方法
最简单的就是使用“and 1=1”和“and 1=2”,如果会被防火墙或自身逻辑拦截,可以尝试等价方法来变换payload,无论是采用哪种payload,最终要提交一个True和False语句,判断网页返回是否相同,从而来对比该位置是否存在SQL漏洞。证明攻击者拼接的起作用,这个位置是具有SQL注入漏洞的。基于时间的注入,顾名思义就是利用时间的长短来判断SQL注入点是否存在,根据时间长短来得到SQL语句执行结果是True还是False,通过判定是否延长来证明SQL注入漏洞是否存在。原创 2024-10-22 16:35:56 · 1045 阅读 · 0 评论 -
Windows和linux、macOS命令拼接符
第7行中,使用“||”符号连接两条命令时,在Linux系统下要求前一条命令出错,后面拼接的命令才可以执行。使用命令拼接符能够将多个命令组合成一个复杂的操作序列,实现更复杂的操作需求。*第6行中,“$(touch 1)”在Linux系统中拥有较高的执行优先级。原创 2024-10-21 17:07:33 · 365 阅读 · 0 评论