新来的同事问我 where 1=1 是什么意思新的同事来之后问我where 1=1 是什么有意思,这样没意义啊,我笑了。今天来说明下。where 1=1先来看一段代码<select id="qu...
洞见简报【2024/1/19】
2024-01-19 微信公众号精选安全技术文章总览洞见网安 2024-01-190x1 某微信小程序未授权漏洞挖掘(置空查询思路)梅苑安全学术 2024-01-19 21:34:20This art...
DC-6
前言首先大家一定要记住,所有未经授权的渗透都是违法的,所以大家切勿一通乱黑,被关进橘子有的哭了。我们可以在本地搭建一些本地靶场,比如Dvwa项目介绍 靶机:172,16,10,14攻击机:...
关于Mybatis的一个小问题。
之前在挖一些项目的时候,老是遇到参数置空导致信息泄露的问题。为了一探究竟,我又去重新补了一下Mybatis 也算是水一篇文章了。Mybatis中XML中的SQL规范可能产生的信息泄露如果在Mybati...
Github账号查询邮件GUI工具(自编写)
0x01 前言技术是老技术了,网上搜一下github账号查询作者邮件有很多方法,但是在实际使用的过程中遇到了一些问题,并对这些问题进行一些改进方法查询。0x02 手动查github作者邮箱的方法搜索得...
IoT设备中的认证绕过漏洞分析
一前 言在IOT设备中,认证漏洞出现频率较高,能够造成的很大危害。通过认证的绕过,攻击者可以访问到很多敏感接口,甚至可以结合其他漏洞直接获取设备 shell。本文将通过一些设备分析认证过程以及认证绕过...
SQL Server数据库学习-新建数据库,增删改查
开篇:由于不是科班出身,对IT编程方面了解甚少,工作以后,在干一些项目,总感觉吃劲,所以在此公众号学习记录一些相关知识,方便以后自己。版本:sql server2019企业版 打开数据库,登...
疑似tiktok历史泄露数据公开
昨天在推上有人发布一个公开的mega的网盘的数据,描述为tiktok数据库,并加上了leak标签,网盘包含了50G+的sql格式数据,有用户描述为几年前数据的公开,涉及用户ID,邮箱等信息,等评论用户...
Mybatis 从SQL注入到OGNL注入
扫码领资料获网安教程免费&进群动态SQL动态 SQL 是 MyBatis 的强大特性之一,一般而言,如果不使用动态SQL来拼接SQL语句,是比较痛苦的,比如拼接时要确保不能漏空格,还要注意去掉...
HackTheBox-Teacher
title: HackTheBox-Teacher author: Crazyinside layout: true categories: HackTheBox tags:• LInux先...
github小技巧
讲一个好用的技巧,通过电子邮件查找 Github 用户资料的方法之一,大多数人都知道有几种从 GitHub 用户那里检索电子邮件地址的技术,但这是反过来的方法。...
【漏洞仓库】最近发布的Poc&Exp
免责声明本公众号仅用于技术交流与学习,利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本公众号只是知识的搬运工,取之于民用之于民。1、vBulletin 5.5.2 ...