1.概述 SSRF(Server-Side Request Forgery：服務器端請求偽造) 是一種由攻擊者構造形成由服務端發起請求的一個安全漏洞。SSRF攻擊的主要目標是從外網無法訪問的內部系統。 SSRF形成的原因：服務端提供了從其他服務器應用獲取數據的功能且沒有對目標地址做過濾與限制 ...

Web攻擊(xss與sql注入)靶場復現 0x00靶機的安裝與使用 實驗靶機采用的是owasp broken web apps靶機，這里直接給出下載鏈接 https://sourceforge.net/projects/owaspbwa/files/ 我們進入網站直接選擇 ...

通達OA sql注入漏洞復現 一、漏洞描述 通達OA 11.5存在sql注入 二、漏洞影響版本 通達oa 11.5 三、漏洞復現 1、下載通達OA 11.5，https://cdndown.tongda2000.com/oa/2019/TDOA11.5.exe，點擊安裝 2、創建 ...

甲.數字型注入 數字型注入一般提交值沒有引號，所以直接在后面構造語句就可以了。 抓包查看 構造語句 提交后 該數據庫表內容被爆出來了。 乙.字符型注入 首先我們要知道一點，字符串在數 ...

0x00 前言 手工注入忘的差不多了。。。還是需要多多練習 以下關卡都是稍微測以下存不存在sql注入，查下數據庫名啥的 沒有將所有字段都爆出來。 沖鴨~ 0x01 數字型注入(post) 因為是數字型，直接在后面加上真命題，不需要加單引號測試 0x02 字符型注入(get ...

一、SQL注入介紹 1.1、通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執行惡意的SQL命令。通過SQL注入可以對程序對應的數據存儲區進行對應的探測。 1.2、形成SQL注入漏洞的原因： 1.3、手工注入常規思路： 二、SQL注入（low ...

其實SQL注入還沒學透，XSS漏洞又開始緊鑼密鼓得學起來了。 無奈自學沒人指導，看別人寫的東西進行一個總結. 這個暑假總要搞掉一些東西 XSS漏洞概述 XSS漏洞——OWASP TOP3 XSS中文名叫跨站腳本攻擊，就是在Web頁面中在可傳入的地方傳入一些惡意代碼 ...

通達OA 11.7 后台sql注入漏洞復現 一、漏洞描述 通達OA 11.7存在sql注入 二、漏洞影響版本 通達oa 11.7 利用條件:需要賬號登錄 三、漏洞復現 1、下載通達OA 11.7，https://cdndown.tongda2000.com/oa/2019 ...