靶场科普 | XSS靶场绕过之特殊绕过

admin 2022年6月14日07:56:29安全文章评论2 views1096字阅读3分39秒阅读模式
靶场科普 | XSS靶场绕过之特殊绕过
靶场科普 | XSS靶场绕过之特殊绕过
点击上方蓝字关注,更多惊喜等着你
靶场科普 | XSS靶场绕过之特殊绕过
靶场科普 | XSS靶场绕过之特殊绕过


本文由“东塔网络安全学院”总结归纳


靶场科普 | XSS靶场绕过之特殊绕过
靶场介绍
XSS靶场绕过之特殊绕过


靶场科普 | XSS靶场绕过之特殊绕过

今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:XSS靶场绕过之特殊绕过”。

一、实验介绍

1.SQL注入介绍

SQL注入,SQL injection。何为 SQL,英文:Structured Query Language,叫做结构化查询语言。常见的结构化数据库有MySQL,MSSQL ,Oracle以及Postgresql。SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句,在管理员不知情的情况下实现非法操作,以此来实现欺骗数据库服务器执行非授权的任意查询等操作。

2.Information_schema数据库基本表说明:

1)schemata表:提供了当前mysql实例中所有的数据库信息,show databases的结果就是从该表得出;

2)tables表:提供了关于数据库中的所有表的信息,即表属于哪个schema,表的创建时间、表的类型等,show tables from schemaName的结果就是从该表得出;

3)columns表:提供表中所有列信息,即表明了表中所有列及每列的信息,show columns from schemaName.tableName的结果就是从该表得出。

3.字符型注入:

在参数后面加引号来判断原有的引号是否失衡,如果有多余引号则为字符型。

靶场科普 | XSS靶场绕过之特殊绕过


二、实验目的

1.深入理解sql注入的概念及原理;

2.掌握字符型注入的原理。


三、实验步骤

1.打开实验地址,查看实验环境,根据实验要求进行相应的操作;

2.按照判断注入点、拼接sql函数来判断执行语句的对错,并获取数据库名、表名、字段名、字段内容等信息。


四、防御方式

1.对用户的输入进行校验,可以通过正则表达式,或限制长度,对单引号和双"-"进行转换等;

2.过滤掉关键字,比如select等,对特殊字符进行实体编码;

3.使用预编译功能;

4.禁用相关函数。

速度登录https://labs.do-ta.com/ GET起来

现在注册,立得50积分哟 ✌


东塔网络安全学院在各大平台均上线了各项活动和学习内容,快快登录以下各大平台学习起来吧~


微博、腾讯课堂、知乎、今日头条、学浪:

东塔网络安全学院

抖音1号:东塔网络安全培训

抖音2号:东塔网络安全教育

哔哩哔哩:东塔网络安全

了解更多活动和咨询欢迎微信添加:dongtakefu




靶场科普 | XSS靶场绕过之特殊绕过

-免费获取学习资料

电子书籍、试听课程-




靶场科普 | XSS靶场绕过之特殊绕过

靶场科普 | XSS靶场绕过之特殊绕过
靶场科普 | XSS靶场绕过之特殊绕过
点击蓝字
分享我们

原文始发于微信公众号(东塔网络安全学院):靶场科普 | XSS靶场绕过之特殊绕过

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月14日07:56:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  靶场科普 | XSS靶场绕过之特殊绕过 http://cn-sec.com/archives/1113137.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: