1.概述 SSRF(Server-Side Request Forgery：服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。SSRF攻击的主要目标是从外网无法访问的内部系统。 SSRF形成的原因：服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制 ...

Web攻击(xss与sql注入)靶场复现 0x00靶机的安装与使用 实验靶机采用的是owasp broken web apps靶机，这里直接给出下载链接 https://sourceforge.net/projects/owaspbwa/files/ 我们进入网站直接选择 ...

通达OA sql注入漏洞复现 一、漏洞描述 通达OA 11.5存在sql注入 二、漏洞影响版本 通达oa 11.5 三、漏洞复现 1、下载通达OA 11.5，https://cdndown.tongda2000.com/oa/2019/TDOA11.5.exe，点击安装 2、创建 ...

甲.数字型注入 数字型注入一般提交值没有引号，所以直接在后面构造语句就可以了。 抓包查看 构造语句 提交后 该数据库表内容被爆出来了。 乙.字符型注入 首先我们要知道一点，字符串在数 ...

0x00 前言 手工注入忘的差不多了。。。还是需要多多练习 以下关卡都是稍微测以下存不存在sql注入，查下数据库名啥的 没有将所有字段都爆出来。 冲鸭~ 0x01 数字型注入(post) 因为是数字型，直接在后面加上真命题，不需要加单引号测试 0x02 字符型注入(get ...

一、SQL注入介绍 1.1、通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。通过SQL注入可以对程序对应的数据存储区进行对应的探测。 1.2、形成SQL注入漏洞的原因： 1.3、手工注入常规思路： 二、SQL注入（low ...

其实SQL注入还没学透，XSS漏洞又开始紧锣密鼓得学起来了。 无奈自学没人指导，看别人写的东西进行一个总结. 这个暑假总要搞掉一些东西 XSS漏洞概述 XSS漏洞——OWASP TOP3 XSS中文名叫跨站脚本攻击，就是在Web页面中在可传入的地方传入一些恶意代码 ...

通达OA 11.7 后台sql注入漏洞复现 一、漏洞描述 通达OA 11.7存在sql注入 二、漏洞影响版本 通达oa 11.7 利用条件:需要账号登录 三、漏洞复现 1、下载通达OA 11.7，https://cdndown.tongda2000.com/oa/2019 ...