摘要：认证信息泄露 明文传输 漏洞描述 低中危漏洞，传输数据包含明文密码、链接、明文身份证、明文地址、用户身份标识等其他敏感信息。 漏洞挖掘 1)使用抓包工具进行挖掘，GET、POST请求传输的数据都可以很清晰的在Burpsuite上看到。 修复方式 1.涉及敏感数据，先进行加密后，再进行传输。 会话变量 阅读全文

摘要：#SQL注入绕WAF 如果有源码白盒针对性的绕waf，如果没有，进行以下黑盒绕过尝试。 架构层绕WAF （1）用户本身是进入waf后访问web页面的，只要我们找到web的真实IP，即可绕过waf。但是如果网站设置了只允许域名访问，而域名解析到waf IP那么则无法绕过。只能其他角度出发绕过 （2）在 阅读全文

摘要：#Mysql SQL注入 Mysql注入学习，配合sqllab学习。除了sqllab的内容外增加了 JSON报错注入、报错注入读写文件、数据库拿Shell 常用函数 #系统函数 1. version() MySQL 版本 2. user() 数据库用户名 3. database() 数据库名 4. 阅读全文

摘要：#ACCESS SQL 注入 简介 ​ Microsoft Office Access是由微软发布的关系数据库管理系统。它结合了 MicrosoftJet Database Engine 和 图形用户界面两项特点，是 Microsoft Office 的系统程序之一。 access数据库结构 ​ a 阅读全文