- 博客(3)
- 收藏
- 关注
RSS订阅原创 文件上传漏洞原理
文件上传漏洞原理,危害和修复思路(笔记)文件上传原理:服务器配置不当或者没有对客户端上传的文件做足够的限制,能够让攻击者通过客户端成功上传包含恶意脚本的文件. 以上即文件上传漏洞原理.危害:被getshell 服务器沦陷修复建议:使用白名单策略过滤上传的文件,严格限制文件后缀对文件内容进行检测文件存储和主站分离尽量减少文件上传带来的危害修改文件名文件上传 getshell 提权获得system 实战思路:找网站文件上传点上传图片马(图片马需要目标网站容器存在解析漏洞才能够解析执
2021-11-18 10:22:32
165
原创 数据库进阶之cookie 注入
数据库进阶之cookie 注入sql 注入原理:你构造的攻击语句 注入到 网站原本的sql查询语句中 被 网站数据库执行. 成功返回你想要的数据. 即 注入成功sql 注入流程:1,判断目标网站是否存在数据库注入漏洞and 1=1 页面有内容 正常显示and 1=2 页面没有内容 非正常显示符合以上两点 存在 数字型sql 注入漏洞ID=1 and 1=1 页面正常显示 有内容id=1 and 1=2 页面正常显示 有内容符合以上两点 存在 字符型sql 注入漏洞2, 判断字段数
2021-11-16 08:45:38
207
原创 sql inject 入门-原理
sql inject 入门-原理sql inject 目前排名owasp top ten 第3 ,有排名说明威胁依然严重.公益漏洞依然可以挖.本文仅供自己学习使用…sql 原理:我们输入非法sql 语句提交给数据库,被当成合法sql 语句执行. 就说明这个网站存在数据库注入漏洞.一般可以在网站上的各种框框中输入(表单) , 以及http请求中的参数:数据库查询语句基本语法如下(手工注入需要对数据库查询语句有基本了解):select 查询内容 from 所在表 where 条件;(说明)demo
2021-11-14 14:19:02
545
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人