sql语句 - 第 4 | CN-SEC 中文网

安全开发

安全人员须知的TOP20漏洞编码安全规范

文章来源：系统安全运维 1.SQL注入 Ø 风险描述 SQL注入主要发生在应用程序数据库层面上。程序员在设计程序的时候，没有对用户的输入进行校验，含有特殊字符语句会被数据库误认为是正常的SQL指令而运...

07月04日38 views评论

阅读全文

安全文章

用友NCCloud fs文件服务器SQL注入漏洞分析与复现

点击上方「蓝字」，关注我们环境配置l 系统：Windows Server 2016 Standardl 数据库：Oracle11Gl JDK：java 1.8.0_202l 复现版本：用友NCClou...

06月28日54 views评论

阅读全文

安全文章

渗透实战页面响应404到SQL注入

01 概述在某个闲来无事的日子里，日常进行渗透测试，各大网络空间搜索引擎搜索，全端口扫描，目录探测之后有了收获～02 正文各大搜索引擎搜索之后，发现有个404页面：目录探测，发现metrics泄...

06月25日109 views评论

阅读全文

代码审计

代码安全审计经验分享

SQL注入 01 MyBatis框架中的注入漏洞 Mybatis框架支持的CURD功能可以直接搜索XML文件中的${和${}拼接的SQL语句，如果SQL的参数可控，就可能造成注入风险。另外，有的SQ...

06月22日37 views评论

阅读全文

代码审计

某ERP系统开源版本审计

分析某ERP系统开源版本地址：https://gitee.com/yimiaoOpen/nodcloud 开审！！！！！ 1.在恢复备份功能点，可调用restore方法从数据库备份文件中恢复数据。 ...

05月29日20 views评论

阅读全文

RuoYi 4.7.8 执行任意SQL语句导致RCE漏洞

简介 RuoYi 是一个后台管理系统，基于经典技术组合（Spring Boot、Apache Shiro、MyBatis、Thymeleaf）主要目的让开发者注重专注业务，降低技术难度，从而节省人力成...

05月26日安全漏洞17 views评论

阅读全文

代码审计

OFCMS代码审计-JAVA

免责申明本文章仅用于信息安全防御技术分享，因用于其他用途而产生不良后果,作者不承担任何法律责任，请严格遵循中华人民共和国相关法律法规，禁止做一切违法犯罪行为。0x00 前言还是熟悉的开头啊，兄弟们，...

05月19日13 views评论

阅读全文

安全漏洞

【漏洞复现】瑞友天翼应用虚拟化系统appsave SQL注入漏洞

01漏洞信息瑞友天翼应用虑拟化系统是基于服务器计算架构的应用虚拟化平台。它将用户各种应用软件集中部署在瑞友天翼服务器(群)上，客户端通过WEB即可快速安全的访问经服务器上授权的应用软件，实现集中应用、...

05月17日58 views评论

阅读全文

HW&HVV

记一次HW供应链攻击到SQL注入新用法

扫码领资料获网安教程# 0.前言在参加某市攻防演练的时候，发现目标站，经过一系列尝试，包括弱口令、SQL注入等等尝试后，未获得到有效的入口点。在准备放弃之时，看到页脚的banner：xxxxx信息科...

05月13日91 views评论

阅读全文

应急响应

护网蓝队之研判分析

逻辑漏洞常见模块场景常见攻击流量特征sql注入流量特征1、特殊关键字：SQL关键字，如SELECT, WHERE, ORDER BY, UNION, UPDATE,DELETE, INSERT等，这些...

04月24日120 views评论

阅读全文

安全职场

渗透面经-MySQL面经(一)

最近打算整理整理面经，不至于想走的时候，连准备都没准备 1.SQL注入原理是啥：服务器端未严格校验客户端发送的数据,而导致服务器端SQL语句被恶意修改并成功执行的行为 2.SQL注入有几种方式？联...

04月22日6 views评论

阅读全文

护网蓝中面试题

fastjson不出网利用fastjson≤1.2.24条件:BasicDataSource只需要有dbcp或tomcat-dbcp的依赖即可，dbcp即数据库连接池，在java中用于管理数据库连接，...

04月17日安全职场46 views评论

阅读全文

安全人员须知的TOP20漏洞编码安全规范

用友NCCloud fs文件服务器SQL注入漏洞分析与复现

渗透实战页面响应404到SQL注入

代码安全审计经验分享

某ERP系统开源版本审计

RuoYi 4.7.8 执行任意SQL语句导致RCE漏洞

OFCMS代码审计-JAVA

【漏洞复现】瑞友天翼应用虚拟化系统appsave SQL注入漏洞

记一次HW供应链攻击到SQL注入新用法

护网蓝队之研判分析

渗透面经-MySQL面经(一)

护网蓝中面试题

在线咨询

微信