随笔分类 - 网络安全之渗透篇
从小白到初级白帽子的必经之路
摘要:MsSQl数据库手动注入攻击 1. MsSQl介绍 mssql又叫SQLserver数据库,是微软旗下的一款数据库产品,一般aspx和.net搭建的网站一般用的都是SQLserver数据库,公司的oa系统喜欢用这个SQLserver做后台数据库 SQLserver数据库中有三种权限 sa权限,相当于
阅读全文
摘要:Access数据库手工注入攻击 1. Access介绍 Access数据库是微软旗下的一种简单的数据库,功能没有mysql,sqlserver功能那么强大,一般asp网站用的就是 Access数据库,一般小公司喜欢用asp网站 数据库文件默认扩展名为.mdb,但是一般运维人员为了隐藏可能会把后缀名改
阅读全文
摘要:sql注入 漏洞的原理 漏洞的利用方式 漏洞的修复 1. 什么是sql [简介] sql是结构化查询语言(Structured Query Language,缩写:SQL),是一种特殊的编程语言,用于数据库中的标 准数据查询语言。1986年10月,美国国家标准学会对SQL进行规范后,以此作为关系式数
阅读全文
摘要:常见的sql注入手法 0x00. 注入点的判断 以sqlli-labs第二关为例具体讲解 变换id参数 当我们变换id参数(2+1|2-1)的时候,发现同一个页面,页面展现出不同的用户信息。也就是说,数据库中的内 容会回显到网页中来。 初步判定,id参数会带入数据库查询,根据不同的id查询数据库,得
阅读全文
摘要:部署kali-linux环境 0x00. kali介绍 Kali Linux 是一个基于 Debian 的 Linux 发行版,linux 是操作系统内核,主要应用于安全任务、渗透测试、安全 研究,逆向工程,电子取证。 Kali Linux 由公司 Offensive Security 开发,资助和
阅读全文
摘要:1. 渗透测试方法论 渗透测试 :(penetrationtesting , pentest) 是实施安全评估(即审计)的具体手段。 方法论:是在制定、实施信息安全审计方案时,需要遵循的规则、惯例和过程。 人们在评估网路、应用、系统或三者组合的安全状况时,不断摸索各种务实的理念和成熟的做法,并总结了
阅读全文
浙公网安备 33010602011771号