sql语句 - 第 9 | CN-SEC 中文网

安全工具

黑名单绕过 -- Ruoyi-All（若依）

一、工具介绍前几天审的若依的后台定时任务黑名单绕过漏洞，整合了一个小工具，提供了几个功能： 1、低版本直接snakeyaml rce 2、高版本利用jdbcTemplate执行sql语句，在。师傅...

05月31日221 views评论

阅读全文

安全文章

布尔盲注

有回显但是没有回显数据库内容（小白篇）(建议小白们看着源码做着题，做上一两道感觉懂原理了可以脱离源码去进行黑盒测试(有源码容易判断怎样闭合的，进而可以进行下一步操作)，当然，我也是小白，大佬别骂QAQ...

05月15日19 views评论

阅读全文

安全文章

从jshERP来看Mybatis下可能的SQL注入

前言这里选择使用jshERP这个CMS来进行Mybatis下可能存在的SQL注入点进行学习jshERP：框架为：springboot持久化框架：Mybatis-plus项目管理框架：Maven前置My...

04月16日30 views评论

阅读全文

安全文章

【Hack The Box】蓝队入门AbuseHumanDB通关详细攻略

加作者微信，邀请进交流群。本文为作者前期作品，发布在Freebuf。前言有对HTB感兴趣的同学可以关注公众号呦！后续我会持续更新哒~信息收集访问网站，查看页面基本信息存在2个请求1》/api/entr...

04月09日128 views评论

阅读全文

安全文章

甲方视角下的SQL注入修复方式分析

文章前言近期在对公司协同源代码进行审计的过程中发现一个很奇怪的点就是很多研发人员认为对于JDBC类的SQL语句防注入只需要使用PreparedStatement即可实现对SQL注入的有效防御，而不管被...

04月01日33 views评论

阅读全文

安全文章

JAVA-RASP高效检测SQL注入

扫码领资料获网安教程免费&进群JAVA-RASP高效检测SQL注入1. 前言笔者在八月份时编写了一系列RASP Hook点及处理方式，这个过程中需要笔者去debug各lib库的代码流程，也协助...

03月14日16 views评论

阅读全文

安全文章

RASP攻防中的矛与盾

引言随着第二期阿里云RASP挑战赛的圆满落幕，借此机会，我们今天想和大家聊一聊RASP攻防对抗的思路。SQL语义分析攻防探索防守方视角首先从“防”的视角而言，RASP不同于流量层检测产品，它能够通过H...

03月14日37 views评论

阅读全文

浅谈SQL database的各种技巧(一)

基础什么是Sql注入漏洞 SQL注入即是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，在管理员不知情的情况下...

03月12日安全文章85 views已关闭评论

阅读全文

SecIN安全技术社区

Pikachu靶场-SQL-Inject

作者：儒道易行 4.SQL-Inject 1.Sql Inject(SQL注入)概述 Sql Inject(SQL注入)概述在owasp发布的top10排行榜里，注入漏洞一直是危害排名第一的漏洞，其...

03月12日40 views已关闭评论

阅读全文

安全文章

Oracle注入漏洞绕waf的新语句

Part1 前言这篇文章源于之前做的一个银行红队项目，遇到到了一个Oracle数据库的SQL注入漏洞，但是网上能搜索到的各种SQL语句都没法出数据，所以客户不认可这个漏洞的危害...

03月10日52 views评论

阅读全文

代码审计

Java代码审计-sql注入篇

PART 01SQL注入基础一、JDBC拼接不当造成SQL注入：1、执行SQL注入的两种方法： PrepareStatement和Stateme...

03月09日111 views评论

阅读全文

代码审计

JAVA常用框架SQL注入审计

点击蓝字 / 关注我们一、JDBC拼接不当造成sql注入JDBC存在两种方法执行SQL语句，分别为PreparedStatement和Statement，相比Statement ，...

02月16日20 views评论

阅读全文

在线咨询

微信