安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
逆向工程 ExploitS 系统文档 移动安全 硬件安全 无线安全WEB安全 DataBase 神兵利刃 网络安全 编程茶楼 WooYun
返回首页
当前位置: 安云网 > 技术关注 > WEB安全 >
  • [WEB安全] 盲注学习总结 日期::2018-02-03点击:169 好评:0

    sql注入中的盲注的几种类型 1.基于时间延时注入 基于时间的手工盲注一般都是通过二分法或逐位法确定范围获取目标值。大大缩小了请求数。 通过控制,获取响应时间来判断目标值的正确性。使用大量情况,在纯盲情况下成功率...

  • [WEB安全] 一次简单的手工注入 日期::2018-02-03点击:181 好评:0

    手工SQL注入: 网址:http://battery.tcl.com/read_news.php?id=38 判断是否有注入点,通常是:单引号() and 1=1 and 1=2 http://battery.tcl.com/read_news.php?id=38 (错误) http://battery.tcl.com/read_news.php?id=38 and 1=1 (正确) http://battery.tcl.com/read_news.php?id=38...

  • [WEB安全] MYSQL注入绕过技巧 日期::2018-01-30点击:84 好评:0

    /lingdao.php?id=161.0ORDER BY%2B9 /lingdao.php?id=4.990Union(select-1.0,2,3,4,5,6,7,@@version) Article/show/id/4.0Union(select-0.1,2,USER,password,5,6,7,8,9,10,11,12,13.0FROM mysql%252euser) /lingdao.php?id=4.990Union(select-.1,password,3,4,5,6,7,8.0FROM(...

  • [WEB安全] MySQL注射的过滤绕过技巧 日期::2018-01-19点击:156 好评:2

    SQL注射的绕过技巧较多,此文仅做一些简单的总结。 前文已经提到,最好利用的注射点: 支持Union 可报错 支持多行执行、可执行系统命令、可HTTP Request等额外有利条件 若非以上类型,则可能需要暴力猜解。猜解时,可能会遇到一...

  • [WEB安全] XSS注入方式和逃避XSS过滤的常用方法 日期::2018-01-03点击:187 好评:0

    转自黑吧安全网http://www.myhack58.com/ web前端开发常见的安全问题就是会遭遇XSS注入,而常见的XSS注入有以下2种方式: 一、html标签注入 这是最常见的一种,主要入口为表单项(一般就是正则过滤不周全)、内联样式表(exploer) 正则过...

  • [WEB安全] 浅谈CSRF攻击方式 日期::2017-10-26点击:145 好评:0

    一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击: 攻击者盗用了你的身份,以你的名义发送恶意请求...

  • [WEB安全] CSRF攻击与防御 日期::2017-10-26点击:199 好评:0

    转载地址:http://www.phpddt.com/reprint/csrf.html CSRF概念: CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求...

  • [WEB安全] 会话令牌 日期::2017-10-24点击:98 好评:0

    通常我们会采取以下的措施来保护会话。 1 .采用强算法生成 Session ID 正如我们前面用 Web Scrab 分析的那样,会话 ID 必须具有随机性和不可预测性。一般来说,会话 ID 的长度至少为 128 位。下面我们就拿常见的应用服务器 Tomcat 来...

  • [WEB安全] Web应用里的HTTP参数污染(HPP)漏洞 日期::2017-10-24点击:209 好评:0

    HPP是HTTP Parameter Pollution的缩写。这个漏洞由S. di Paola 与L. Caret Toni在2009年的OWASP上首次公布。这也是一种注入型的漏洞,攻击者通过在HTTP请求中插入特定的参数来发起攻击。如果Web应用中存在这样的漏洞,可以被攻击者利用来进行...

  • [WEB安全] jQuery跨站脚本漏洞XSS with $(location.hash)漏洞 日期::2017-10-23点击:158 好评:0

    jquery下载地址: https://code.jquery.com/jquery/ 影响范围: 版本低于1.7的jQuery过滤用户输入数据所使用的正则表达式存在缺陷,可能导致LOCATION.HASH跨站漏洞 已测试成功版本: jquery-1.6.min.js,jquery-1.6.1.min.js,jquery-1.6.2.min.js jquery-1.5所有版...

推荐内容