一、SQL注入漏洞 SQL注入攻擊（SQL Injection），簡稱注入攻擊、SQL注入，被廣泛用於非法獲取網站控制權，是發生在應用程序的數據庫層上的安全漏洞。在設計程序，忽略了對輸入字符串中夾帶的SQL指令的檢查，被數據庫誤認為是正常的SQL指令而運行，從而使數據庫受到攻擊，可能導致數據被竊 ...

1.1 Web應用的漏洞分類 1、信息泄露漏洞 信息泄露漏洞是由於Web服務器或應用程序沒有正確處理一些特殊請求，泄露Web服務器的一些敏感信息，如用戶名、密碼、源代碼、服務器信息、配置信息等。 造成信息泄露主要有以下三種原因： --Web服務器配置存在問題，導致一些 ...

0x01 漏洞挖掘 01 注冊 注冊中最常見的有兩個，一個是惡意注冊，另一個是賬戶遍歷。一個好的注冊界面應該是這樣 或者這樣的 而不是這樣的 要么使用短信或郵箱進行驗證，要么存在難以識別的驗證碼，使得注冊的請求無法批量提交。那么賬戶遍歷是什么 ...

1、安全攻擊 1、SQL、HTML、JS、OS命令注入 2、XSS跨站腳本攻擊，利用站內信任的用戶，在web頁面插入惡意script代碼 3、CSRF跨站請求偽造，通過偽裝來自信任用戶的請求來利用受信任的網站。 4、目錄遍歷漏洞 5、參數篡改 ...

注：以下漏洞示例已由相關廠商修復，切勿非法測試！ 0x01 漏洞挖掘 01 注冊 注冊中最常見的有兩個，一個是惡意注冊，另一個是賬戶遍歷。一個好的注冊界面應該是這樣 或者這樣的 而不是這樣的 要么使用短信或郵箱進行驗證，要么存在難以 ...

事務代碼：MIGO—貨物移動 101 按采購訂單收貨到庫存 102 按采購訂單收貨到倉庫 - 沖銷 103 按采購訂單收貨到收貨凍結庫存 104 按采購訂單的收貨 -> 收貨凍結庫存 - 沖銷 105 批准倉庫中凍結的收貨庫存 106 批准倉庫中凍結的收貨 ...

Web安全測試中常見邏輯漏洞解析（實戰篇） 簡要： 越權漏洞是比較常見的漏洞類型，越權漏洞可以理解為，一個正常的用戶A通常只能夠對自己的一些信息進行增刪改查，但是由於程序員的一時疏忽，對信息進行增刪改查的時候沒有進行一個判斷，判斷所需要操作的信息是否屬於對應的用戶，導致用戶A可以操作其他人 ...

常見的類型有以下：SQL注入、XSS跨站腳本攻擊、惡意文件上傳、一句話木馬連接等。 SQL注入： 漏洞特征：存在SQL注入語句 常見的SQL注入語句有： ●通過報錯注入、布爾盲注、時間盲注判斷是否存在注入： ⊙字符型 ■ 參數后加單引號，報錯：sql1.php?name=admin ...