摘要：目录穿越，也就是目录遍历，当前都是通过变量传递给服务器以访问想要的资源，如果其传递的内容直接与资源目录拼接，就很是容易出现次安全问题。 绝对路径直接读取 如=/etc/passwd 剥离../ 如....//....//...//etc//passwd 多余url编码 如可以二次url编码../ 验 阅读全文

摘要：本菜觉得其实无论什么注入，不用纠结于什么先数字型、字符型等等一系列的步骤方法，就是通过对于数据库sql语法的熟悉，在数据交汇的地方，输入出现错误了，去试着拼成能够获取你所想要信息的语句，且其能在程序中执行，逐次尝试，直到成功，反复熟能生巧，由徒为师。 先后试过了dvwa，burpsuit在线靶场等， 阅读全文

摘要：0x00 什么是关系型数据库和非关系型数据库，两者都包含哪些种类的数据库？ 1.关系型数据库 关系型数据库（RDBMS），是指采用了关系模型来组织数据的数据库，其以行和列的形式存储数据，以便于用户理解，关系型数据库这一系列的行和列被称为表，一组表组成了数据库。用户通过查询来检索数据库中的数据，而查询 阅读全文