OWASP——开放式web应用程序安全项目 参考文献：袁鸣凯．OWASP Top 10十大风险 – 10个最重大的Web应用风险与攻防．2016-9-18． https://blog.c ...

绕过waf分类： 白盒绕过： 针对代码审计，有的waf采用代码的方式，编写过滤函数，如下blacklist()函数所示： 策略： （1）大小写变 ...

文件上传第一式（禁JS） （1）来到第一关，我们查看源代码： 上图可以发现，上传的限制代码块写在js函数内，因此我们可以考虑将js的开关禁掉，直接上传木马的方式，其实，似乎也可以不 ...

xss秘籍第一式（常弹） （1）进入自己搭建的靶场，发现有get请求，参数为name，可进行输入，并会将输入的内容显示于网页页面 （2）使用xss的payload进 ...

原理： 二次注入需要具备的两个条件： （1）用户向数据库插入恶意语句（即使后端代码对语句进行了转义，如mysql_escape_string、mysql_real_escape_str ...

一： 关于PHP的一句话木马： 显示结果： 二： 关于PHP的一句话木马： 当POST参数_的值为空时： 当不为空 ...

首先说明一下我们的实验目的，我们这个实验需要利用一种公有密码，将公有密钥写入要攻击的服务器的redis数据库，然后使用我们自己的私钥进行远控肉鸡的操作。 实验环境： ...

来自：http://blog.51cto.com/simeon/1981572 作者介绍 陈小兵，高级工程师，具有丰富的信息系统项目经验及18年以上网络安全经验，现主要从事 ...

一、Insert（增） 举例说明： 我们新增一个账号密码： 当然，是需要你按照列来新增的，数据类型也需要是列的同一数据类型，如何查看类的类型呢？使用desc ...

今天偶遇一Access数据库 1.首先尝试是否存在注入点，and1=1,and 1=2,发现返回信息不一样 2.使用sqlmap脱裤，发现时Access数据库，不能提权， 3.那就 ...