随笔分类 - Web安全
Owasp Top10
摘要:起因: 找到一个介绍不错的文章 slowhttptest 测试方式: slowloris模式: slowhttptest -c 1000 -H -i 10 -r 200 -t GET -u https://yourtarget.com/index.html -x 24 -p 3 Slow Body攻
阅读全文
摘要:目录布尔的盲注MID()函数substr()函数Left()函数获取数据库名字长度获取数据库名字获取表名获取列名爆自段时间的SQL盲注报错的sql盲注 布尔的盲注 MID()函数 SQL MID()函数用于得到一个字符串的一部分。这个函数被MySQL支持,但不被MS SQL Server和Oracl
阅读全文
摘要:题目 CVE-2022-32991 Web Based Quiz System SQL注入 该CMS的welcome.php中存在SQL注入攻击。 解题思路: 1.搜索题目给出cve编号信息 2.访问靶场环境: js中无提示信息,进行手工访问。注册登录,找到带eid参数的welcom.php请求的数
阅读全文
摘要:前言 项目中各厂商越来越趋势于使用云存储,云管理。 漏洞介绍 AK/SK(Access Key ID/Secret Access Key)即访问密钥,包含访问密钥ID(AK)和秘密访问密钥(SK)两部分,公有云通过AK识别用户的身份,通过SK对请求数据进行签名验证,用于确保请求的机密性、完整性和请求
阅读全文
摘要:https://github.com/qianniaoge/JavaSecInterview https://github.com/Maskhe/javasec https://github.com/Y4tacker/JavaSec https://github.com/search?q=javaS
阅读全文
摘要:涉及技能点 SQL注入基础原理 盲注常用函数及思路 burpsuite基础知识 过程记录 1.发现 在翻阅一EDU站点时,发现路径中带有明显的数字参数 好像与我们平时习惯的xxx.php?id=不同呃 2.尝试注入 按照以往习惯,先用order by探探底,结果翻车了…应该有自定义逻辑在过滤敏感关键
阅读全文
浙公网安备 33010602011771号