SQL注入是网站和web应用程序中最常见的安全漏洞。这种恶意技术有很多应用场景, 但(SQL注入)通常是指在数据输入的地方注入代码以利用数据库应用程序中的安全漏洞。...
分类:
数据库 时间:
2014-11-02 12:34:43
阅读次数:
154
原理SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过执行SQL语句进而执行攻击者所要的操作,其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统。根据相关技术原理,SQL注入可以分为平台层注入和代码层注入。前者由不安全的数据...
分类:
数据库 时间:
2014-11-02 12:10:39
阅读次数:
218
在掌握了MySQL的基本操作之后,在本篇博文中将介绍如何进行手工PHP注入。目标网站仍然采用NPMserv搭建,软件下载地址:http://down.51cto.com/data/1886128。首先随便打开一个页面,利用and1=1和and1=2判断是否存在注入点。然后利用orderby推断字段数量,这里推断出有5个字段。..
分类:
数据库 时间:
2014-11-02 09:34:32
阅读次数:
227
转自腾讯博文作者:TSRC白帽子发布日期:2014-09-03阅读次数:1338博文内容:博文作者:lol [TSRC 白帽子]第二作者:Conqu3r、花开若相惜来自团队:[Pax.Mac Team] 应邀参加TSRC WAF防御绕过挑战赛,由于之前曾经和Team小伙伴一起参加过安全宝WAF挑战,...
分类:
数据库 时间:
2014-11-02 00:30:13
阅读次数:
305
在之前的博文中曾介绍过如何对ASP网站进行手工注入,ASP网站大都是采用ACCESS或MSSQL数据库,因而所谓针对ASP的SQL注入其实也就是根据ACCESS或MSSQL数据库的特点来构造查询语句。除此之外,对于PHP网站则大都是采用MySQL数据库,这里要进行手工注入时所使用的查询语句与之前就..
分类:
数据库 时间:
2014-11-01 12:04:28
阅读次数:
325
ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.它可以作为Apache Web服务器的一个模块或单独的应用程序来运行。ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击。本文主要介...
分类:
数据库 时间:
2014-10-31 20:38:21
阅读次数:
472
作者:bystander博客:http://leaver.me论坛:法克论坛目录1.大小写绕过2.简单编码绕过3.注释绕过4.分隔重写绕过5.Http参数污染(HPP)6.使用逻辑运算符or /and绕过7.比较操作符替换8.同功能函数替换9.盲注无需or和and10.加括号11.缓冲区溢出绕过1....
分类:
数据库 时间:
2014-10-31 15:27:49
阅读次数:
307
前言
好长时间没有写过东西了,不是不想写,只不过是一直静不下心来写点东西。当然,拖了这么长的时间,也总该写点什么的。最近刚刚上手安全方面的东西,作为一个菜鸟,也本着学习的目的,就谈谈最近接触到的安全方面的问题吧。
背景
既然提到了背景,那我们就简单的带一下,最近互联网上爆出了各种惊人的事件、各种门、各种照的,归根结底,都是网络安全出的问题,有的是网络被别人监控...
分类:
数据库 时间:
2014-10-30 11:51:04
阅读次数:
423
naxsi简介naxsi 是一个nginx 防病毒,防跨站,sql 注入的一个模块。nginx的一个waf ,应用防火墙。非常好配置。naxsi 安装naxsi 在debina/ubuntu 上是直接被支持的,也就是说你只需要 apt-get 即可。apt-get install nginx-nax...
分类:
其他好文 时间:
2014-10-29 19:14:38
阅读次数:
200
最近在linux装了新的环境,php5.6+mysql5.5+nginx。然后用原来的mysql链接数据库出现的错误。
原因就是说连接数据库的方法太旧。建议我用mysqli和PDO来链接数据库。
好吧,咱也不能落后,使用mysqli的确也简单了不少,但是PDO貌似更简单。效率也会得到提升。根据官方文档,貌似对于sql注入的一些风险也做了屏蔽。所以今天写的 博客就是关于php用PDO连接mysql的一些介绍啦!...
分类:
数据库 时间:
2014-10-29 10:53:39
阅读次数:
290