- 博客(11)
- 收藏
- 关注
RSS订阅原创 XSS总结
就是你写的恶意代码被存储到数据库中,用户点击页面之后会继续执行恶意代码,能持续攻击不同的用户。伪协议只有在特定环境下才可以执行(关联应用中使用))原本程序要执行的代码,拼接了用户输入的数据,然后执行了。伪协议:不同于因特网上真实存在的协议,如。伪静态:本质是动态页面,却把自己伪装成静态。本质:“用户输入的数据当做代码执行了(的一种,简单理解就是因为它输出点在。这四种符号全过滤,基本就稳了。)报错信息(管理员可见的)传入参数去控制触发的,但是。二、存储型XSS的挖掘。的核心就是操纵浏览器。
2023-10-10 12:53:28
99
1
原创 SQL注入——总结
原理:用户输入的数据当作代码执行条件:用户能控制输入,在原本程序执行的代码后面拼接了用户的输入的内容,然后被执行了。条件:用户能控制输入原本输入的代码,拼接了用户输入的内容,然后执行。
2023-10-10 12:51:56
91
1
原创 SQL注入——Access (偏移注入)
切记:Access只有一个数据库,没有什么系统自带库;猜表名(实际一点就行);爆破过程有点麻烦,一定要有耐心。
2023-10-10 12:48:44
162
1
原创 SQL注入——宽字节注入
1.转义符“\”有些符号想让他当作单纯的字符,而不是当作符号的时候,一般可以用: \符号比如:\’ \\’ 这种情况下,‘和"将被当作正常的字符在数据库之中’与"几乎没有区别,在php之中 ’ 包括的内容完全当作字符串,而 " 包括的内容会进一步进行解析例如:$a=‘hello’;echo ‘$a’;//输出:aecho “$a”;//输出:hello2.为什么产生编码:--为了处理英文字符,产生了ASCII码。
2023-10-10 12:37:18
664
1
原创 网络安全零基础入门 PHP 连接数据库,PHP正则表达式(第三章)
标志是–>form标签主要功能是采集数据SQL注入的本质:用户输入的数据被当做代码执行;正则表达式可用在防御(即过滤上),可以有效防御SQL注入、XSS、HTML注入等;存在拼接语句并没有过滤掉就有SQL注入(SQL注入本质);表单的作用就是将数据提交到后端脚本,后端脚本对其进行处理正常网站组成:动态脚本语言,中间件(Tomcat、JBOSS),数据库web容器。
2023-10-10 10:52:08
177
1
原创 网络安全基础 SQL PHP 基础知识(第二章)
web容器其实是一种服务程序,在服务器的每一个端口就有一个提供相应服务的程序,这个程序就是处理从客户端发出的请求。如java中的Tomcat容器。学好SQL语法很重要,它是渗透测试的核心不会的去找baidu,google求助。
2023-10-10 10:15:19
123
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人