随笔分类 -  Web Security

摘要：1. 过程（不查看源代码） 使用burpsuite或者owasp zap抓取数据包，可以看出页面执行过程如下： 首先获取上一次请求的token，然后sleep几秒，最后使用get方法提交验证。 2. 原理 访问暴力破解的页面，获取token； 带入参数再次访问该页面进行破解。 3. 仿照 搜索类似代 阅读全文

摘要：注：本文是学习网易Web安全进阶课的笔记，特此声明。 只有后一个SELECT语句可以使用Order by 只有后一个SELECT语句可以使用LIMIT 阅读全文

摘要：注：本文是学习网易Web安全进阶课的笔记，特此声明。 其他数据库也可以参考寻找注入点。 A： 一、信息搜集（百度） 1、无特定目标 inurl:.php?id= 2、有特定目标 inurl:.php?id= site:target.com 3、工具爬取 spider，爬取搜索引擎的搜索结果或目标网站 阅读全文