导读 主要分享学习日常中的web渗透,内网渗透、漏洞复现、工具开发相关等。希望以技术共享、交流等不断赋能自己,为网络安全发展贡献自己的微薄之力!&n...
0基础入门代码审计-3 sql注入
0x01 漏洞描述 当应用程序将用户输入的内容,拼接到SQL语句中,一起提交给数据库执行时,就会产生SQL注入威胁。攻击者通过控制部分SQL语句,可以查询数据库中任何需要的数据,利用数据库的一些特性,...
干货:超详细的 SQL 优化大全 !
噩梦:加载两分钟,跑数2小时?SQL怎么优化才能提升其执行效率?提示:本文篇幅较长,内容较多,建议收藏。在使用SQL过程中不仅要关注数据结果,同样要注意SQL语句的执行效率。本文涉及三部分:SQL介绍...
java代码审计之常见漏洞学习
获黑客教程免费&进群前言Java代码审计中常见的一些漏洞学习总结以及一些审计思路。java项目分层视图层(View 视图)控制层(Controller、Action控制层)服务层(Servic...
一些常见问题的总结
1.sq|注入原理?一般如何测sq|注入(测试sq|注入步骤) ?原理:当web向后台数据库传递SQL语句时,如果没有对用户输入的参数进行严格的过滤处理的话,攻击者就可以构造特殊的SQL语句,直接输入...
easycms 7.7.4 后台sql注入漏洞复现
环境windows 11phpstudyeasycms 7.7.4代码分析漏洞点:文件lib/admin/database_admin.php中的函数dorestore_action()方法。 //还...
原创 | 记一次对VAuditDemo平台的代码审计(下)
点击蓝字关注我们 前言 2.8 SSRF漏洞 在上面的任意文件读取漏洞中,由于有file_get_contents()函数,可能存在SSRF漏洞。 2.8.1 漏洞利用 poc 将https://ww...
【学习笔记】预编译下的SQL注入探索
0x01 前言失踪人口回归,最近准备去实习了,浅浅的更新下参考文章:https://forum.butian.net/share/15590x02 预编译是啥预编译的过程中,会将SQL语句和...
蓝队初级面试总结|建议收藏
一、sql注入原理、分类、绕过 原理:产生sql注入漏洞主要因为没有对接受到的参数进行过滤、验证和处理直接拼接到了sql语句中,然后直接执行该sql语句,这样就会导致恶意用户传入一些精心构造的sql代...
详细|通过mysql学习sql注入
点击上方[蓝字],关注我们建议大家把公众号“Z2O安全攻防”设为星标,否则可能就看不到啦!因为公众号现在只对常读和星标的公众号才能展示大图推送。操作方法:点击右上角的【...】,然后点击【设为星标】即...
黑名单绕过 -- Ruoyi-All(若依)
一、工具介绍 前几天审的若依的后台定时任务黑名单绕过漏洞,整合了一个小工具,提供了几个功能: 1、低版本直接snakeyaml rce 2、高版本利用jdbcTemplate执行sql语句,在 。师傅...
布尔盲注
有回显但是没有回显数据库内容(小白篇)(建议小白们看着源码做着题,做上一两道感觉懂原理了可以脱离源码去进行黑盒测试(有源码容易判断怎样闭合的,进而可以进行下一步操作),当然,我也是小白,大佬别骂QAQ...
12