摘要：[SQL注入备忘录][https://websec.ca/kb/sql_injection ] MySQL基本hack函数 函数名称 函数功能 函数名称 函数功能 system_user() 系统用户名 concat() 没有分隔符地连接字符串 user() 用户名 concat_ws() 含有分隔 阅读全文

摘要：跨站点请求伪造（也称为CSRF）是一个Web安全漏洞，攻击者可以利用该漏洞诱使用户执行他们不打算执行的操作。 它允许攻击者部分规避同源策略。 漏洞利用需要具备的三个条件 一个可以利用的功能，如修改密码等 基于Cookie的会话处理。没有其他机制可以跟踪会话或验证用户请求。 没有不可预测的请求参数 几 阅读全文

摘要：测试介绍 web渗透测试的一般过程主要有信息获取、web结构获取、熟悉业务逻辑、日志检查、归档测试、权限测试、参数分析、会话管理、接口测试、上传下载功能测试、认证测试、业务逻辑安全测试、核心业务功能安全测试等。 检测细节 web安全 SQL注入 跨站脚本攻击（XSS） XML外部实体注入（XXE） 阅读全文