摘要: 原理: 暴力破解无法解决问题,可以考虑界面与数据库交互,用户可控可以考虑sql注入 实验: burp wuite 万能密码测试 百度中输入万能密码 存储为txt文本文件 发送至intruder模块 这样进行注入 文章注入: 判断页面是否存在sql注入漏洞 and 1=2 不显示或者报错‘ 阅读全文
posted @ 2020-05-01 20:41 冫恋丶 阅读(1400) 评论(0) 推荐(0) 编辑
摘要: 抓包 基于后台验证 更改发送的数据 【密码】123456 基于前台验证 只在于前台验证密码就可以随便试了,验证码形同虚设 阅读全文
posted @ 2020-05-01 17:11 冫恋丶 阅读(1517) 评论(0) 推荐(0) 编辑
摘要: 使用PK靶机 【目标网页】 四种攻击方式 sniper 狙击手模式:使用一组payload集合,依次替换,对服务器发送请求 battering ram 攻城车:将一组payload集合替换到相应的变量中&&,与狙击手不同的是,攻城车使用一个数据替换全部的,而狙击手只替换一个 pitchfork 草叉 阅读全文
posted @ 2020-05-01 16:26 冫恋丶 阅读(228) 评论(0) 推荐(0) 编辑