todd_qwe的博客

目录原理及危害分类及常用工具用法防御思路原理及危害文件上传是大部分web应用都具备的功能，例如用户上传附件，修改头像，分享图片/视频等，web应用收集之后后台存储，需要的时候再调用出来。如果恶意文件如PHP，ASP等执行文件绕过web应用，并顺利执行，相当于黑客直接拿到了webshell，就可以拿到web应用的数据，对文件系统删除，增加，修改，甚至本地提权，进一步拿下整个服务器甚至内网渗透。文...

学习SQL注入书单原理危害SQL注入流程分类及常用工具防御实战书单《SQL注入攻击与防御第2版》原理注入攻击的本质，是吧用户输入的数据当做代码执行。这里有两个关键条件，第一个是用户能控制输入；第二个是原本程序要执行的代码，拼接了用户输入的数据。当然，想要研究SQL注入需要深入了解每种数据库的SQL语法及特性。危害通过SQL注入攻击，可以获取、删除、修改数据库信息，并提供提权来控制we...