作为现在最流行的编程语言之一的Python,它被证明是如今黑客最常用的工具语言,可是你了解Python吗? 有资料显示,安全商务Imperva在查看GitHub之后得出了这个结论,并且发现有超过20%的GitHub存储库用于攻击工具和概念验证漏洞利用Python编写。 “在GitHub中几乎所有与安 ...
分类:
编程语言 时间:
2018-12-14 17:26:08
阅读次数:
169
一.sql注入产生的原因 sql注入用一句概况就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 通过控制部分SQL语句,攻击者可以查询数据库中任何自己需要的数据,利用数据库的一些特性,可以直接获取数据库服务器的系统权限。 要利用sql ...
分类:
数据库 时间:
2018-12-05 20:35:16
阅读次数:
212
sqlmap用户手册 | by WooYun知识库 sqlmap用户手册 当给sqlmap这么一个url (http://192.168.136.131/sqlmap/mysql/get_int.php?id=1) 的时候,它会: 1、判断可注入的参数 2、判断可以用那种SQL注入技术来注入 3、识 ...
分类:
数据库 时间:
2018-12-04 22:33:28
阅读次数:
288
SmartSqlMap | 属性 | 说明 | | : | :| | Scope | 域,用于SqlMap定义Sql声明范围 | Statement标签 | 属性 | 说明 | | : | :| | Id | 唯一性编号 | | Cache | 缓存策略编号,引用自Cache标签 | Stateme ...
分类:
数据库 时间:
2018-11-16 21:36:11
阅读次数:
275
单引号被过滤情况: 空格、等号未被过滤情况: select被过滤情况: 以此类推,当sqlmap注入出现问题时,比如不出数据,就要检查对应的关键词是否被过滤。 比如空格被过滤可以使用space2comment.py,过滤系统对大小写敏感可以使用randomcase.py等等。 根据实际情况,可以同时 ...
分类:
数据库 时间:
2018-11-15 18:28:29
阅读次数:
181
a) 建表时,字段名称建议用"_"分隔多个单词,比如:AWB_NO、REC_ID...,这样生成的entity,属性名称就会变成漂亮的驼峰命名,即:awbNo、recId b)oracle中,数值形的字段,如果指定精度,比如Number(12,2),默认生成entity属性是BigDecimal型 ...
分类:
数据库 时间:
2018-11-11 20:10:45
阅读次数:
374
SQL 注入测评教程 1 准备 安装包:Burpsuit、Python27、sqlmap 2 安装配置 2.1 Burpsuit 1) 解压Burpsuit 2) 双击运行BurpUnlimited.jar(注:该工具基于java,提前安装好java运行环境) 3) 设置,如图所示 2.2 Pyth ...
分类:
数据库 时间:
2018-11-10 12:36:38
阅读次数:
313
其他高级 用户自定义函数注入 参数:–udf-inject,–shared-lib 你可以通过编译MySQL注入你自定义的函数(UDFs)或PostgreSQL在windows中共享库,DLL,或者Linux/Unix中共享对象, sqlmap将会问你一些问题,上传到服务器数据库自定义函数,然后根据 ...
分类:
数据库 时间:
2018-11-08 00:14:14
阅读次数:
240
SQLmap基于Python编写,只要安装了Python的操作系统就可以使用它。 一、SQLMap判断是否存在注入 1、 sqlmap -u "http://XXXXXXX?id=1" 如果存在注入点,将会显示Web容器、数据库版本信息。 2、读取数据库:sqlmap -u "http://XXXX ...
分类:
数据库 时间:
2018-10-30 23:53:31
阅读次数:
178
mybatis generator默认采用追加方式生成,所以我们如果要重新生成代码的时候那么要先删除原来的文件。 解决办法: 1:创建一个自定义补丁类。 OverwriteXmlPlugin.java package com.my.common.generator; import java.util ...
分类:
其他好文 时间:
2018-10-27 13:24:52
阅读次数:
181
