呀小王呀 - 博客园

解决在cmd命令下不能输入中文方法

摘要：解决在cmd命令下不能输入中文方法 cmd命令下无法输入中文，输入conime.exe即可阅读全文

posted @ 2018-05-21 18:39 呀小王呀阅读(292) 评论(0) 推荐(0)

sqlmap手工注入

摘要：阅读全文

posted @ 2018-05-20 19:36 呀小王呀阅读(382) 评论(0) 推荐(0)

报错注入

摘要：报错注入 1，rand()函数可以产生0~1随机数。 rand()函数产生的随机数是0~1,floor函数向下取整，取到的值是固定的“0”， rand()*2，floor函数取到的值是不固定的“0”或"1" floor（x）函数向下取整，即取不超过x的最大整数。 rand(0)*2将取0~2中的随机阅读全文

posted @ 2018-05-18 20:58 呀小王呀阅读(323) 评论(0) 推荐(0)

html表单中的name属性和value属性

摘要：举例：比如<input type="text" name=" username" value="aa">女孩在这个例子中value究竟有什么用啊，后面都写了女孩了，显示的内容一定是女孩女孩是你在页面上看到的内容，而value标签里面的值是你传给后台，在后台处理数据用的，像你说的这个例子，传入后阅读全文

posted @ 2018-05-17 19:57 呀小王呀阅读(4335) 评论(0) 推荐(0)

xss漏洞

摘要：在学习xss漏洞之前我们先学习一下，什么叫做同源策略。所谓同源策略指的是，浏览器对不同源的脚本或文本的访问方式进行限制。所谓同源指的是，域名，协议，端口相同。在HTML语言中，有部分标签在引用第三方资源时，不受同源策略的限制： <script> <img> <iframe> <link> 下面阅读全文

posted @ 2018-05-12 18:15 呀小王呀阅读(1475) 评论(0) 推荐(0)

DVWA-xss反射型(跨站脚本漏洞)

摘要：首先进入DVWA页面，选择low等级。进入xxs（reflect）页面。我们在弹窗中进行测试，输入xxs则结果如下：然后再输入<xss>xss脚本试一试。结果如下：查看元素发现helllo后面出现一对xss标签，似乎可以html注入。接下来我们进行xss弹窗测试，能弹窗则存在xss漏洞。阅读全文

posted @ 2018-05-12 16:52 呀小王呀阅读(5428) 评论(0) 推荐(0)

DVWA-brute force

摘要： burte force暴力破解一，进入DVWA 在dvwa security中把等级选为low点击submit，选中burte force选项二，在浏览器中提交用户名和密码，设置代理，要用burp抓包 Ctrl+i 发送到intruder 选中positions 去掉多余的用clear$清除多余阅读全文

posted @ 2018-05-09 20:51 呀小王呀阅读(149) 评论(0) 推荐(0)

owsap top 10 2017(十大web安全应用程序安全)

摘要：一，2017-注入将不受信任的数据作为命令或查询的一部分发送给解析器时。会产生诸如sql注入，nosql注入，os注入和LDAP注入的注入缺陷。攻击者的恶意数据会诱使解析器在没有适当授权的情况下执行非预期的命令或访问数据。二，失效的身份认证通常，通过错误使用应用程序的身份认证和会话管理功能，攻阅读全文

posted @ 2018-05-07 11:06 呀小王呀阅读(1527) 评论(0) 推荐(0)

sqli_labs less-5

摘要：这一关主要用到sql盲注，从源代码中可以看到，运行返回结果正确的时候只返回you are in....，不会返回数据库当中的信息了。接下来我们用left()判断数据库版本。接下来我们用length() ASCII(),substring()来猜数据库名数据库的长度为8 由此可知数据库是secu 阅读全文

posted @ 2018-04-09 11:03 呀小王呀阅读(134) 评论(0) 推荐(0)

盲注

摘要：盲注分为三类：（1）基于布尔的sql盲注；（2）基于时间的sql盲注；（3）基于报错的sql盲注； 1：基于布尔SQL盲注构造逻辑判断首先我们先了解以下函数：截取字符串相关函数 1,left(a,b) 从左侧取字符串a的前b位 2,,substr(a,b,c) 从b开始截取字符串a的长度阅读全文

posted @ 2018-04-02 20:53 呀小王呀阅读(257) 评论(0) 推荐(0)