一位苦于信息安全的萌新小白帽本实验仅用于信息防御教学,切勿用于它用途公众号:XG小刚 规则 规则不细说 SQL注入 登录发现SQL分为两套环...
.NET实现虚拟WebShell第3课之IAuthorizationFilter
0x01 背景授权过滤器(IAuthorizationFilter)在认证过滤器(IAuthenticationFilter)之后,从命名来看AuthorizationFilter用于完成授权相关的工...
实战|SRC挖掘思路及方法
最近发现很多刚接触渗透方面的小伙伴都不知道实战挖掘漏洞的诀窍,于是我打算写一些自己挖漏洞的诀窍。src推荐新手挖洞首选漏洞盒子,因为漏洞盒子范围广,国内的站点都收。相比于其他src平台,挖掘难道很适合...
实战 | 记一次赏金2500美金的Shopify漏洞挖掘
概括当用户能够访问他们不应该访问的内容时,就会出现最常见的漏洞之一。如果恶意行为者利用此漏洞并访问他人的机密信息,则可能导致敏感数据泄露。这是一种称为信息泄露的漏洞形式,它可以有多种形式。通常,Web...
Django order_by SQL注入漏洞分析(CVE-2021-35042)
STATEMENT声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此...
CISSP考试指南笔记:7.13 个人安全问题
The single most valuable asset for an organization, and the one that involves the highest moral and ...
[转载]SQL Injections in MySQL LIMIT clause
[转载]SQL Injections in MySQL LIMIT clause 2016-04-11 #limit注入 #mysql注入 from:https://rateip.com/blog/s...
反序列化学习笔记(二)
XmlSerializer 类XmlSerializer是微软自带的序列化类,用于在xml字符串和对象之间相互转化。其命名空间:System.Xml.Serialization,程序集为:System...
[RootersCTF2019]babyWeb -解题步骤详解
SQL查询,过滤了:union、sleep、'、"、or、-、benchmarkorder by测试字段数,发现当order by 2时返回正常order by 3返回没有这个字段,确定为两个字段,一...
记一次eduSRC挖掘
作者:boyshang ,转载于freebuf。eduSRC介绍今天闲来无事,想搞个eduSRC账号玩一玩,研究了一下,发现edu账号有两种获取方法:1、有账号的或者内部人员邀请你,2、提交一个高校的...
注入基础(二)
Less-6Double Query- Double Quotes- String 只是带入查询的时候是双引号,跟之前的Less-4差不多,只是没有括...
谁还没经历过死锁呢
来自公众号:小林coding大家好,我是小林。说个很早之前自己遇到过数据库死锁问题。有个业务主要逻辑就是新增订单、修改订单、查询订单等操作。然后因为订单是不能重复的,所以当时在新增订单的时候做了幂等性...