SQL注入的问题 SQL存在漏洞,会被攻击导致数据泄露。 SQL注入测试类: import com.qsy.lesson02.utils.JdbcUtils; import java.sql.Connection; import java.sql.ResultSet; import java.sql ...
分类:
数据库 时间:
2021-06-02 13:20:52
阅读次数:
0
问题描述 今天准备系统的学习一下sql注入,搭建了一个sqlilab靶场,数据库连接没有问题,phpstudy启动也没有问题,但是启动成功之后进入第一关 我在网上找了很多都说第一关就是简单的单引号注入,但是我输入单引号没有回显错误 我还专门去源代码看了看,审计源代码,里面毛都没有过滤,但是为什么注不 ...
分类:
数据库 时间:
2021-06-02 13:13:18
阅读次数:
0
11-1.逻辑漏洞-订单金额任意修改1)逻辑漏洞介绍逻辑漏洞挖掘一直是安全测试中"经久不衰"的话题。相比SQL注入、XSS漏洞等传统安全漏洞,现在的攻击者更倾向于利用业务逻辑层的应用安全问题,这类问题往往危害巨大,可能造成了企业的资产损失和名誉受损,并且传统的安全防御设备和措施收效甚微。在存在功能性 ...
分类:
其他好文 时间:
2021-06-02 12:23:41
阅读次数:
0
Overthewire level 17 to level 18 进入页面后,让我们去输入一个用户名看它是否存在。这与第15关很相似,但是不同的是这题关闭了回显。显然,关闭了回显后我们还是能有办法知道对应的sql语句到底执行成功还是失败,这有个技巧叫盲注(Blind injection),通过调用s ...
分类:
其他好文 时间:
2021-06-02 12:01:16
阅读次数:
0
在sql注入中我们通常会使用这样一条语句来爆破字段: id=-1 union select 1,2,3 --+ 源代码: SELECT * FROM users WHERE id=-1 union select 1,2,3 假如表的字段是三个,他会根据程序的设定来输出哪个字段。如果这时使用键值对来查 ...
分类:
其他好文 时间:
2021-06-02 11:12:14
阅读次数:
0
PreparedStatement对象 使用preparedStatement对象,可以有效的防止SQL注入,并且效率更高 新增 import java.sql.Connection; import java.sql.PreparedStatement; import java.util.Date; ...
分类:
其他好文 时间:
2021-05-24 13:10:42
阅读次数:
0
MySQL(进阶篇) 一、视图 1. 理解 相当于将一个变量名和一个sql语句绑定,可通过变量名重复调用该sql语句 sql语句的结果一般为一个临时表,所以视图也被称为动态的临时表 2. 用法 -- create a view create view v_name as sql_statement ...
分类:
数据库 时间:
2021-05-24 11:57:48
阅读次数:
0
前两天在捣鼓AWVS的时候苦于没有合适的实验对象,总是领悟不到AWVS的核心重点,在网上看了一篇关于文章后,发现DVWA很适合给新手练习,所以就开始从网上下载相关软件安装调试。 一、DVWA安装所需环境 .Net Framework 3.5 PHP+MySQL 注:不需要单独安装上述软件,后文中有描 ...
分类:
其他好文 时间:
2021-05-24 01:24:36
阅读次数:
0
0x01 题目分析 通过题目可以了解到这是一个SQL注入的题,但是打开网站后观察URL、对登录框抓包尝试后都无果。 这时就很迷,最后只能用老办法看看源码啥的有没有提示 经过观察发现了一个隐藏的URL(心理想:这题是真的鬼[○?`Д´? ○]) 0x02 开始测试 利用and 1=1 和 and 1= ...
分类:
数据库 时间:
2021-05-03 13:20:58
阅读次数:
0
Low 命令注入Low级别的,我们先看一下源码 <?php if( isset( $_POST[ 'Submit' ] ) ) { // Get input $target = $_REQUEST[ 'ip' ]; // Determine OS and execute the ping comma ...
分类:
其他好文 时间:
2021-05-03 12:31:22
阅读次数:
0
