web安全之sql注入
关注
分享
扫一扫
观观雎鸠
在未知的路上前行,为未来而努力。
展开
-
SQL注入之Post型提交方式的注入--免密登录
Post型提交方式的注入POST提交,由于不在url中携带,所以借助工具burpsuit!!!SQL注入之万能密码1)sql注入之万能用户名注释法 //将密码注释掉eg:用户名处 admin' #or 方法 eg:admin' or '1'='12)updata3)insert—UA以Less11为实例:实现免密登陆方法一:使用注释法1、在页面使用用户名和密码登陆(...原创 2020-04-29 17:44:24 · 1577 阅读 · 0 评论 -
SQL注入de绕过
SQL注入绕过基本思路基本思路找到一种可替换的符号或者可替换的逻辑语句。--------------------------------------------------------分隔符---------------------------------------------------过滤关键字1、and与or的过滤1)替换or---> ||and--> &...原创 2020-04-17 21:30:51 · 451 阅读 · 0 评论 -
SQL注入之时间型盲注
时间型盲注---------------------------------------------------------小小分隔符-----------------------------------------------------时间型盲注原理完全没有变化的页面!!!时间型的注入遇到的条件更为苛刻,数据交互完成以后目标网站没有错误和正确的页面回显,这种情况我们可以利用时间函数来判...原创 2020-04-16 21:57:27 · 854 阅读 · 0 评论 -
SQL注入之布尔型盲注
布尔型盲注--------------------------------------------------------------分隔符---------------------------------------------布尔盲注原理布尔型盲注是由于页面提交数据在与数据交互是完全没有在页面上出现回显数据,只会出现数据提交正确和错误俩种不同页面(报错型至少语法错误会回显错误在页面上)或...原创 2020-04-16 21:02:05 · 1053 阅读 · 0 评论 -
SQL报错型注入
报错型SQL注入-------------------------------------------------我是小小分隔符----------------------------------------------基本原理:报错型sql注入与SQL联合注入的前三步是一致的(上篇博客),但没有数据的回显位,也就是说即使构造语句成功我们也没有办法看到数据的显示。但是如果sql语句出现错误则...原创 2020-04-16 15:01:25 · 392 阅读 · 0 评论 -
SQL注入之数据库的用法
一、数据库的基本使用命令:Linux中进入MySQL数据库:查看所有库:进入某个库:查看库的表:查询表的所有内容:插入语句:查询表中限定数据:修改数据:order by进行排序:可以使用order by判断列数:超出会报错在库名为security的库中,users和emails表,使用union实现联合查询//注意:由于两表结构不同(users表–三列十...原创 2020-03-30 19:58:09 · 550 阅读 · 0 评论 -
web安全之SQL注入始篇--基本概念和联合注入
注入之始篇-------------------------------------------------------关关爱学习----------------------------------------------1、SQL注入的原理:SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,...原创 2020-04-13 21:19:49 · 519 阅读 · 0 评论