摘要:
以下四个都是可用的: [html] view plain copy http://mirrors.ibiblio.org/maven2/ http://mvnrepository.com/ http://repository.jboss.org/nexus/content/groups/public 阅读全文
posted @ 2018-01-30 22:27
有梦就能实现
阅读(357)
评论(0)
推荐(0)
摘要:
上周六单位被扫描出SQL注入漏洞 经过检查,发现ibatis框架都可能出现这个问题.如果有需求,让你实现页面grid所有字段都能排序,你会怎么做呢? 最简单的做法就是从页面把字段名,排序类型传回来,然后拼接在SQL里面.(在使用EasyUI前端框架的时候,这样做非常容易) 然后修改ibatis框架, 阅读全文
posted @ 2018-01-30 17:19
有梦就能实现
阅读(762)
评论(0)
推荐(0)
摘要:
漏洞分析 使用sqli-lab中的lesson-52作为测试目标。关键代码为: 可以通过asc 和desc查看返回数据是否相同来简单判断是否存在orderby注入。 利用方式: mysql 5中 select order by的语法如下: order by后面可以加字段名,表达式和字段的位置,字段的 阅读全文
posted @ 2018-01-30 17:15
有梦就能实现
阅读(744)
评论(0)
推荐(0)
摘要:
关于web安全测试,目前主要有以下几种攻击方法: 1.XSS 2.SQL注入 3.跨目录访问 4.缓冲区溢出 5.cookies修改 6.Htth方法篡改(包括隐藏字段修改和参数修改) 7.CSRF 8.CRLF 9.命令行注入 今天主要讲下SQL盲注。 一、SQL 盲注、发现数据库错误模式、跨站点 阅读全文
posted @ 2018-01-30 17:12
有梦就能实现
阅读(3379)
评论(0)
推荐(0)
摘要:
看了之前Gr36_前辈在先知上的议题,其中有提到排序注入,这个在最近经常遇到这样的问题,所以先总结下order by 排序注入的知识。 0×00 背景 看了之前Gr36_前辈在先知上的议题,其中有提到排序注入,这个在最近经常遇到这样的问题,所以先总结下order by 排序注入的知识。 0×01 环 阅读全文
posted @ 2018-01-30 17:10
有梦就能实现
阅读(370)
评论(0)
推荐(0)
摘要:
前言 最近在做一些漏洞盒子后台项目的总结,在盒子多期众测项目中,发现注入类的漏洞占比较大。其中Order By注入型的漏洞也占挺大一部分比例,这类漏洞也是白帽子乐意提交的类型(奖金高、被过滤概率小)。今天给大家分享下一些关于Order By的有趣的经验。 何为order by 注入 本文讨论的内容指 阅读全文
posted @ 2018-01-30 16:59
有梦就能实现
阅读(409)
评论(0)
推荐(0)
摘要:
写在前面: 这篇文章主要写了一些加快盲注速度的技巧和盲注中比较精巧的语句,虽然注入并不是什么新技术了。但是数据库注入漏洞依然困扰着每一个安全厂商,也鞭策着每一个安全从业者不断前进。 正文: 首先来简单介绍一下盲注,盲注是不能通过直接显示的途径来获取数据库数据的方法。在盲注中,攻击者根据其返回页面的不 阅读全文
posted @ 2018-01-30 16:58
有梦就能实现
阅读(496)
评论(0)
推荐(0)
摘要:
前面的话 拖放(drag-and-drop,DnD)其实是两个动作——拖和放。所以,它涉及到两个元素。一个是被拖的元素,称为拖放源;另一个是要放的目标,称为拖放目标。本文将通过拆分这两个概念来详细介绍原生拖放 拖放源 什么样的元素才是拖放源呢? HTML5为所有HTML元素规定了一个draggabl 阅读全文
posted @ 2018-01-30 14:32
有梦就能实现
阅读(332)
评论(0)
推荐(0)
摘要:
windows默认共享的打开和关闭? Windows启动时都会默认打开admin$ ipc$ 和每个盘符的共享,对于不必要的默认共享,一般都会把它取消掉,可当又需要打开此默认共享时,又该从哪里设置呢,一般来说有两个地方,MSDOS命令和计算机管理共享文件夹,下面主要从DOS命令来设置,因为比较简单, 阅读全文
posted @ 2018-01-30 11:48
有梦就能实现
阅读(1668)
评论(0)
推荐(0)
浙公网安备 33010602011771号