0x00概况说明 0x01报错注入及利用 环境说明 kali LAMP 0x0a 核心代码 现在注入的主要原因是程序员在写sql语句的时候还是通过最原始的语句拼接来完成，另外SQL语句有Select、Insert、Update和Delete四种类型，注入也是对这四种 ...

中有个师傅说有前台sql注入。 那么我就来找找前台的sql注入吧，虽说是java但其实代码审计的点都是 ...

　　　 0X01 普通注入 SQL参数拼接，未做任何过滤 测试语句：id=1 UNION SELECT user(),2,3,4 from users 0x02 宽字节注入 A、MYSQL中的宽字符注入 示例代码： 测试语句：%df%27 mysql ...

0x00 背景 SQL注入是一种常见Web漏洞，所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。本文以代码审计的形式研究SQL注入原理、挖掘形式、防御方案及缺陷。 0x01 SQL注入产生原理 SQL注入 ...

java编译篇 java编译过程： Java源代码 ——（编译）——> Java字节码 ——（解释器）——> 机器码 Java源代码 ——（编译器 ）——> jvm可执行的Java字节码 ——（jvm解释器） ——> 机器可执行的二进制机器码 ——>程序运行 ...

一、JavaWeb 安全基础 1. 何为代码审计? 通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在的安全问题，由于Java本身是编译型语言，所以即便只有class文件的情况下我们依然可以对Java代码进行审计。对于未编译的Java源代码文件我们可以直接阅读 ...

开始复现审计一下tp3和tp5的框架漏洞，当个练习吧。 涉及注入的方法为where() table() delete()等。 环境 tp3.2.3 : 0x01 注入成因 测试代码: I方法断点 跟进去 ...

版本过多只分析大版本和使用人数较多的版本目前使用人数最多的3.2.3。审计时也是发现多个版本未公开漏洞 测试环境: Mysql5.6/PHP5.5 首先明确的是在不使用PDO做参数绑定时ThinkPHP全版本都可能存在宽字节注入。 黑盒检测方法:输入于头字节大于7F测试数据 ...