1. 使用dvwa靶机进行sql注入实战(注:当前靶机安全级别为low) 打开sql漏洞,发现输入不同的数字会返回不同的信息, 先尝试手工判断是否存在sql注入 一般sql注入语句像这样,我们构造的是后面两个单引号里面的内容 select * from users where userid='*' ...
分类:
数据库 时间:
2020-02-01 23:33:31
阅读次数:
114
刚刚入门的新手都需要一个可以用来练习的环境,但是dvwa的搭建需要相关环境,所以这里推荐大家在虚拟机上搭建owasp靶机,里面集成了dvwa靶机。 https://sourceforge.net/projects/owaspbwa/files/ 打开上面链接进入官网下载最新版压缩文件,下载完成后解压 ...
分类:
Web程序 时间:
2020-02-01 20:57:27
阅读次数:
468
命令注入(Command Injection)是指通过提交恶意构造的参数破坏命令语句结构。从而达到执行恶意命令的目的。 查看命令注入的流程: 1;查看是否调用系统命令。 2;函数以及函数的参数是否可控。 3;是否拼接命令注入。 下面我们使用dvwa来做测试。 A;我们先将安全等级调整为“low” 1 ...
分类:
Web程序 时间:
2020-02-01 10:18:43
阅读次数:
121
接入层上传 上传问题 上传文件 再次访问上传的文件 上传的文件被当成程序解析 上传问题防御 限制上传后缀 但是可以通过改后缀名的方式,达到攻击的目的 文件类型检查 类型是从浏览器读取的,可以不经过浏览器上传文件,依然不安全 文件内容检查 但是可以通过在文件头部写入对应的内容 所以还是不安全 程序输出 ...
分类:
Web程序 时间:
2020-01-31 22:29:02
阅读次数:
111
XSS Cross Site Scripting 跨站脚本 Scripting 能干啥? 获取页面数据 偷取网站任意数据资料 获取 cookies 偷取用户资料 劫持前端逻辑 偷取用户密码和登录状态 发送请求 欺骗用户 .... Xss 攻击分类 反射性 url 参数直接注入 存储性 存储到 DB ...
分类:
其他好文 时间:
2020-01-31 14:24:21
阅读次数:
80
题目描述: Given an array of integers, return indices of the two numbers such that they add up to a specific target. You may assume that each input would h ...
分类:
其他好文 时间:
2020-01-31 12:38:32
阅读次数:
93
目录 1)连接请求的变量 1、max_connections 2、back_log 3、wait_timeout和interative_timeout 2)缓冲区变量 4、key_buffer_size 5、query_cache_size(查询缓存简称QC) 6、max_connect_error ...
分类:
数据库 时间:
2020-01-31 10:43:10
阅读次数:
94
点击劫持 用户亲手操作 盗取用户资金(转账,消费) 用户不知情 获取用户敏感信息 ....if 利用 iframe 内嵌页面,并将原页面透明度设置为零,这样实现点击劫持 点击劫持防御 JavaScript 禁止内嵌 在内嵌页面中 和`window`不等 但这种方式有时并不完全有效,因为攻击者是可以禁 ...
分类:
其他好文 时间:
2020-01-30 23:10:43
阅读次数:
72
CSRF Cross Site Request Forgy 跨站请求伪造 需要条件 用户登录 A 网站 A 网站确认身份 B 网站页面向 A 网站发起请求(带 A 网站身份) CRSF 攻击危害 利用用户登录态 盗取用户资金(转账,消费) 用户不知情 冒充用户发帖背锅 完成业务请求 损坏网站名誉 . ...
分类:
其他好文 时间:
2020-01-30 21:19:11
阅读次数:
108
[TOC] 1. 修改主题 IDEA中内置三种主题:Darcula、High contrast、Intellij 2. 修改字体 最喜爱用的两款字体:Consolas、Inconsolata 3. 安装插件 CodeGlance:Sublime Text右侧小地图导航效果 4. 设置自动导包 将两项 ...
分类:
其他好文 时间:
2020-01-30 11:19:52
阅读次数:
75
