摘要：打开题目，是普通的登录界面，用sqlmap试了下，并没有可以注入的地方。但是根据题目，还是需要先登陆，然后才能进行后一步的动作。 在用户名中输入：username' or 1=1# 和 username' or 1=2# 的结果不同。一个是密码错误，一个是用户名不存在，判断存在注入 通过查看资料，h 阅读全文

摘要：XSS（Cross Site Script）：跨站脚本攻击，通过HTML注入，修改网页，插入恶意脚本，进行攻击。 XSS有三种类型： 反射型：经过后端，不经过数据库 存储型：经过后端，经过数据库 DOM：不经过后端，DOM—based XSS漏洞是基于文档对象模型Document Objeet Mo 阅读全文

摘要：注入攻击本质是把用户的输入当做代码执行，包括：sql注入、XML注入等 发生条件：1.用户能够控制输入；2.原本要执行的代码拼接了用户的输入，导致执行了用户的输入 1.sql注入 sql语言是解释型语言，因此存在先天性的安全缺陷 原理什么的就不提了，从判断是否存在sql注入开始吧~ 1.1 判断是否 阅读全文

摘要：实验吧--天网管理系统 考察点：md5特性、反序列化漏洞，php布尔弱类型 查看源码，发现 表示username的md5值==0，这里利用了md5的一个漏洞，凡是0e开头的字符串会被解释为0，百度一下即可 得到新链接/user.php?fame=hjkleffifer 这是一个反序列化问题，根据提示 阅读全文