- 博客(3)
- 收藏
- 关注
RSS订阅原创 文件上传漏洞原理
文件上传漏洞原理,危害和修复思路(笔记) 文件上传原理:服务器配置不当或者没有对客户端上传的文件做足够的限制,能够让攻击者通过客户端成功上传包含恶意脚本的文件. 以上即文件上传漏洞原理. 危害: 被getshell 服务器沦陷 修复建议: 使用白名单策略过滤上传的文件,严格限制文件后缀 对文件内容进行检测 文件存储和主站分离尽量减少文件上传带来的危害 修改文件名 文件上传 getshell 提权获得system 实战思路: 找网站文件上传点 上传图片马(图片马需要目标网站容器存在解析漏洞才能够解析执
2021-11-18 10:22:32
183
原创 数据库进阶之cookie 注入
数据库进阶之cookie 注入 sql 注入原理: 你构造的攻击语句 注入到 网站原本的sql查询语句中 被 网站数据库执行. 成功返回你想要的数据. 即 注入成功 sql 注入流程: 1,判断目标网站是否存在数据库注入漏洞 and 1=1 页面有内容 正常显示 and 1=2 页面没有内容 非正常显示 符合以上两点 存在 数字型sql 注入漏洞 ID=1 and 1=1 页面正常显示 有内容 id=1 and 1=2 页面正常显示 有内容 符合以上两点 存在 字符型sql 注入漏洞 2, 判断字段数
2021-11-16 08:45:38
227
原创 sql inject 入门-原理
sql inject 入门-原理 sql inject 目前排名owasp top ten 第3 ,有排名说明威胁依然严重.公益漏洞依然可以挖. 本文仅供自己学习使用… sql 原理: 我们输入非法sql 语句提交给数据库,被当成合法sql 语句执行. 就说明这个网站存在数据库注入漏洞.一般可以在网站上的各种框框中输入(表单) , 以及http请求中的参数: 数据库查询语句基本语法如下(手工注入需要对数据库查询语句有基本了解): select 查询内容 from 所在表 where 条件;(说明) demo
2021-11-14 14:19:02
598
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人