多数人知道SQL注入,也知道SQL参数化查询可以防止SQL注入,可为什么能防止注入却并不是很多人都知道的。 首先:我们要了解SQL收到一个指令后所做的事情:
在这里,简单的表示为:收到指令 -> 编译SQL生成执行计划 ->选择执行计划 ->执行执行计划。
具体可能有点不一样,但大致的步骤如上所示。...
分类:
数据库 时间:
2014-06-13 15:59:54
阅读次数:
206
本文讲述了PHP网站的相关攻击手段,其中包括SQL注入、会话劫持、XSS等攻击手段。本文除了解释各种攻击手段,还提供了各种攻击手段的相关在线资源,供大家参考学习。
分类:
Web程序 时间:
2014-06-09 19:23:12
阅读次数:
261
apache的安全增强配置(使用mod_chroot,mod_security)
作者:windydays 2010/8/17 LAMP环境的一般入侵,大致经过sql注入,上传webshell,...
分类:
其他好文 时间:
2014-06-08 07:36:06
阅读次数:
236
1).BreakRomoteURLAttribute提交或交互的URL数据是否来源于其它地方,站内提交,防止跨站2).
DataAttribute取得post或get提交的数据。如果没有特殊设置,取得的数据是sql注入、xss注入过滤的。属性名作用默认值选项说明其它说明IsEmpty是否可以提交空数...
分类:
Web程序 时间:
2014-06-03 16:59:34
阅读次数:
407
出现原因:PHP版本6中
取消了get_magic_quotes_gpc()函数,首先这个函数的作用:是为了防止sql注入,当该函数打开时将所有单引号,双引号,反斜线和空字符转会自动转为含有反斜线的溢出字符。PHP6取消magic_quotes机制,那么就是默认转义一些特殊字符来防止sql注入。可以...
分类:
Web程序 时间:
2014-05-29 02:31:10
阅读次数:
282
sql server
2000漏洞一直很多前段时间我自己的服务器就出现了一个sql的临时储存过程漏洞漏洞扩展:xp_dirtree储存过程事前:最近发现一个漏洞是sql服务器造成的前几天正好没有什么事情,就用阿d的sql注入工具对自己服务器的网站进行注入,偶然发现了使用mssql的网站浸染可以利用s...
分类:
其他好文 时间:
2014-05-28 01:35:47
阅读次数:
401
第一步:sqlmap基于Python,所以首先下载:http://yunpan.cn/QiCBLZtGGTa7U 访问密码
c26e第二步:安装Python,将sqlmap解压到Python根目录下;第三步:小试牛刀,查看sqlmap版本:python
sqlmap/sqlmap.py -h第四步:...
分类:
数据库 时间:
2014-05-27 16:27:17
阅读次数:
448
1、Nikto2简介:Nikto2
是一款使用perl语言写的多平台扫描软件,是一款命令行模式的工具,它可以扫描指定主机的WEB类型主机名、特定目录、Cookie、特定CGI漏洞、XSS漏洞、sql注入漏洞、返回主机允许的http方法等安全问题。位置:/pentest/web/nikto
用法 1....
分类:
Web程序 时间:
2014-05-26 04:41:42
阅读次数:
235
Wfuzz简介:Wfuzz是一款用来进行web应用暴力猜解的工具,支持对网站目录、登录信息、应用资源文件等的暴力猜解,还可以进行get及post参数的猜解,sql注入、xss漏洞的测试等。该工具所有功能都依赖于字典。位置:/pentest/web/wfuzz用法就是把你想进入测试的地方用FUZZ代....
分类:
Web程序 时间:
2014-05-26 02:14:32
阅读次数:
353
1.漏洞获取方法
1)扫描器扫描 2)乌云 3)线上服务漏洞
例子:
线上crm->管理员弱口令->后台上传头像处漏洞->上传php文件->进入内网->扫描内网拓扑->获得各种共享文件
2.入侵原因
1)好玩 2)拖库,目的,获得各种账号密码。同样账号在其他地方的密码有可能一致。
3)删文章,挂黑链,不正当竞争攻击
3.常见漏洞
1)sql注入 2)xss
4.一些获...
分类:
Web程序 时间:
2014-05-25 02:00:10
阅读次数:
272
