网络安全技能
关注
分享
扫一扫
USG_f4d
UHGsec团队
展开
专栏收录文章
- 默认排序
- 最新发布
- 最早发布
- 最多阅读
- 最少阅读
-
安全技能-CSRF漏洞
介绍CSRF CSRF(跨站请求伪造),也被称为One Click Attack 或者 Session Riding,通常缩写为CSRF或XSRF,是一种对网站的而恶意利用 CSRF通过通过伪装成受信任用户请求受信任网站,与XSS相比,CSRF攻击往往不太流行,但难以防范,所以被认为比XSS更具攻击性 原理 攻击者利用目标用户身份,以目标用户的名义执行某种非法操作,CSRF能做的事情包括:以目标用...原创 2019-10-14 16:18:15 · 276 阅读 · 0 评论 -
安全技能-XSS
XSS介绍 跨站脚本攻击(简称XSS),是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种,他允许恶意用户将代码注入网页,其他用户在浏览网页时就会受到影响 XSS攻击可以分为三种 反射型XSS 存储型XSS DOM型XSS 原理 反射型XSS 反射型XSS又称非持久型XSS,这种攻击方式具有一次性 攻击方式: 攻击者通过电子邮件等方式将包含XSS代码的恶意链接...原创 2019-10-14 15:51:21 · 342 阅读 · 0 评论 -
安全技能-SQL注入绕过技术
大小写绕过注入 URL地址:http://127.0.0.1/sql/1.php?id=1 访问id=1’ 页面报错,访问id=1 and 1=1 页面返回’no hack’,发现被拦截,说明有关键词过滤,可以尝试使用大小写绕过(如And 1=1,aNd 1=1,AND 1=1 等)观察页面返回信息,判断是否存在sql注入 然后使用order by 查询字段长度 最后使用union...原创 2019-10-14 15:49:02 · 251 阅读 · 0 评论 -
安全技能-常见sql注入
时间盲注 URL地址:http://127.0.0.1/sql/lime.php?id=1 情况与Boolean注入相似的另外一种注入方式 时间盲注多与if(expr1,expr2,expr3)结合使用 if含义是:如果expr1位TRUE,则返回expr2,否则返回expr3 判断数据库名长度 if(length(database())>1,sleep(5),1) ...原创 2019-10-14 15:38:00 · 215 阅读 · 0 评论 -
安全技能-SQL注入基础
产生原因 Web应用程序没有对用户数据的合法性进行判断,前端传入后端的参数是攻击者可控的,并且参数代入数据库查询,攻击者可以通过构造不同SQL语句来实现对数据库任意操作 SQL注入原理 SQL注入产生,需要满足一下两个条件 参数用户可控:前端传给后端的参数内容是用户可控制的 参数代入数据库查询:传入的参数拼接到SQL语句,且代入数据库查询 相关知识点 在MySQL 5.0版本之后,...原创 2019-10-14 15:30:29 · 148 阅读 · 0 评论