Redredredfish的博客

mysql报错注入原理常用函数updatexml()extractvalue()count()、floor、rand()、group by不太常用函数expgeometrycollection原理当联合注入无法回显时，可以利用报错回显，同时查询指令或者SQL函数会被执行，报错的过程可能会出现在查询或者插入甚至删除的过程中。条件：查询语句会被执行报错信息有回显常用函数updatexml()updatexml(目标xml内容,xml文档路径,更新的内容)当参数2xml文档路径包含字符~,会

XSS常见的绕过手法大小写绕过HTML对标签大小写不敏感，可以利用大小写混用绕过例如：<script>改为<ScRiPt>双写绕过有些情况的规则会将黑名单标签替换为空，可以利用这一点构造标签例如：<script>改为<scr<script>ipt>同理某些注释符在规则中也会替换为空，这时候可以利用它构造payload例如：<script>改为<scr<!---test--->ipt>开口标签在

XSS学习笔记背景原理什么是XSS类型三级目录背景说来惭愧，前段时间的一次面试中，面试官问了“什么是XSS，简述它的原理及危害”我答得有点混乱，一直没有刻意地去记过这些原理，只知道一些利用方式，于是准备补一补web漏洞相关的笔记，先从XSS开始原理什么是XSS先看看百度是咋解释的XSS攻击通常指的是通过利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript，但实际上也可以包括Java、 VBSc