- 前言phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。 CVE-2018-12613,这是一个在phpMyAdmin4.8.x(4.8.2之前)上发现的文件包含漏洞,攻击者可以利用该漏洞在后台进行任意的文件包含。也就也为着攻击者可以通过webshell直接拿下搭建了... 前言phpMyAdmin是phpMyAdmin团队开发的一套免费的、基于Web的MySQL数据库管理工具。该工具能够创建和删除数据库,创建、删除、修改数据库表,执行SQL脚本命令等。 CVE-2018-12613,这是一个在phpMyAdmin4.8.x(4.8.2之前)上发现的文件包含漏洞,攻击者可以利用该漏洞在后台进行任意的文件包含。也就也为着攻击者可以通过webshell直接拿下搭建了...
- Fastjson反序列化漏洞可以看到 使用的fastjson的1.2.55版本这里找一下Parse或者ParseObject函数 全局搜索一下在src/main/java/com/jsh/erp/utils/StringUtil.java中的getInfo方法中 发现调用而 search参数正是由前端输入而来 ,也就是说 参数可控 导致fastjson反序列化可以看到前端的任意一个搜索 字符... Fastjson反序列化漏洞可以看到 使用的fastjson的1.2.55版本这里找一下Parse或者ParseObject函数 全局搜索一下在src/main/java/com/jsh/erp/utils/StringUtil.java中的getInfo方法中 发现调用而 search参数正是由前端输入而来 ,也就是说 参数可控 导致fastjson反序列化可以看到前端的任意一个搜索 字符...
- 知识梳理SQL注入原理:用户输入的数据可以被拼接到原有代码执行SQL注入基本流程:(1). 判断注入点,例:数字型:id=1 and 1=1 页面正常id=1 and 1=2页面不正常;字符型:单双引号、括号闭合,观察页面是否正常;使用sleep()观察页面是否存在延迟;(2)猜解字段数,例:and 1=2 order by 1,2,3通过观察页面是否正常来确定字段数(3)查看显错点and ... 知识梳理SQL注入原理:用户输入的数据可以被拼接到原有代码执行SQL注入基本流程:(1). 判断注入点,例:数字型:id=1 and 1=1 页面正常id=1 and 1=2页面不正常;字符型:单双引号、括号闭合,观察页面是否正常;使用sleep()观察页面是否存在延迟;(2)猜解字段数,例:and 1=2 order by 1,2,3通过观察页面是否正常来确定字段数(3)查看显错点and ...
- 知识梳理什么是Header注入Header注入,该注入是指利用后端验证客户端口信息(比如常用的cookie验证)或者通过Header中获取客户端的一些信息(比如User-Agent用户代理等其他Header字段信息),因为这些信息在某些地方是会和其他信息一起存储到数据库中,然后再在前台显示出来,又因为后台没有进过相对应的信息处理所以构成了sql注入。 超全局变量 PHP 中的许多... 知识梳理什么是Header注入Header注入,该注入是指利用后端验证客户端口信息(比如常用的cookie验证)或者通过Header中获取客户端的一些信息(比如User-Agent用户代理等其他Header字段信息),因为这些信息在某些地方是会和其他信息一起存储到数据库中,然后再在前台显示出来,又因为后台没有进过相对应的信息处理所以构成了sql注入。 超全局变量 PHP 中的许多...
- 知识梳理SQL注入原理:用户输入的数据可以被拼接到原有代码执行SQL注入基本流程:(1). 判断注入点,例:数字型:id=1 and 1=1 页面正常id=1 and 1=2页面不正常;字符型:单双引号、括号闭合,观察页面是否正常;使用sleep()观察页面是否存在延迟;(2)猜解字段数,例:and 1=2 order by 1,2,3通过观察页面是否正常来确定字段数(3)查看显错点and ... 知识梳理SQL注入原理:用户输入的数据可以被拼接到原有代码执行SQL注入基本流程:(1). 判断注入点,例:数字型:id=1 and 1=1 页面正常id=1 and 1=2页面不正常;字符型:单双引号、括号闭合,观察页面是否正常;使用sleep()观察页面是否存在延迟;(2)猜解字段数,例:and 1=2 order by 1,2,3通过观察页面是否正常来确定字段数(3)查看显错点and ...
- 知识梳理SQL注入原理:用户输入的数据可以被拼接到原有代码执行SQL注入基本流程:(1). 判断注入点,例:数字型:id=1 and 1=1 页面正常id=1 and 1=2页面不正常;字符型:单双引号、括号闭合,观察页面是否正常;使用sleep()观察页面是否存在延迟;(2)猜解字段数,例:and 1=2 order by 1,2,3通过观察页面是否正常来确定字段数(3)查看显错点and ... 知识梳理SQL注入原理:用户输入的数据可以被拼接到原有代码执行SQL注入基本流程:(1). 判断注入点,例:数字型:id=1 and 1=1 页面正常id=1 and 1=2页面不正常;字符型:单双引号、括号闭合,观察页面是否正常;使用sleep()观察页面是否存在延迟;(2)猜解字段数,例:and 1=2 order by 1,2,3通过观察页面是否正常来确定字段数(3)查看显错点and ...
- 知识梳理SQL注入原理:用户输入的数据可以被拼接到原有代码执行SQL注入基本流程:(1). 判断注入点,例:数字型:id=1 and 1=1 页面正常id=1 and 1=2页面不正常;字符型:单双引号、括号闭合,观察页面是否正常;使用sleep()观察页面是否存在延迟;(2)猜解字段数,例:and 1=2 order by 1,2,3通过观察页面是否正常来确定字段数(3)查看显错点and ... 知识梳理SQL注入原理:用户输入的数据可以被拼接到原有代码执行SQL注入基本流程:(1). 判断注入点,例:数字型:id=1 and 1=1 页面正常id=1 and 1=2页面不正常;字符型:单双引号、括号闭合,观察页面是否正常;使用sleep()观察页面是否存在延迟;(2)猜解字段数,例:and 1=2 order by 1,2,3通过观察页面是否正常来确定字段数(3)查看显错点and ...
- ORA-17001=内部错误ORA-17002=Io 异常ORA-17003=无效的列索引ORA-17004=无效的列类型ORA-17005=不支持的列类型ORA-17006=列名无效ORA-17007=无效的动态列ORA-17008=关闭的连接ORA-17009=关闭的语句ORA-17010=关闭的 ResultsetORA-17011=结果集已耗尽ORA-17012=参数类型冲突ORA-... ORA-17001=内部错误ORA-17002=Io 异常ORA-17003=无效的列索引ORA-17004=无效的列类型ORA-17005=不支持的列类型ORA-17006=列名无效ORA-17007=无效的动态列ORA-17008=关闭的连接ORA-17009=关闭的语句ORA-17010=关闭的 ResultsetORA-17011=结果集已耗尽ORA-17012=参数类型冲突ORA-...
- 二次注入:原理、利用过程 二次注入:原理、利用过程
- 【工具跑SQL盲注】 【工具跑SQL盲注】
- 【数据库连接问题】【靶场访问错误】Table ‘xxx‘ doesn‘t exist,文件‘Not Find‘ 可能是管理软件与终端本身的一个连接问题 【数据库连接问题】【靶场访问错误】Table ‘xxx‘ doesn‘t exist,文件‘Not Find‘ 可能是管理软件与终端本身的一个连接问题
- 信息收集,注入获取数据图解,附带靶场搭建教程及可能遇见的问题 信息收集,注入获取数据图解,附带靶场搭建教程及可能遇见的问题
- sqli-labs靶场无法写入问题解决“ it cannot execute this statement”和“You have an error in your SQL syntax” sqli-labs靶场无法写入问题解决“ it cannot execute this statement”和“You have an error in your SQL syntax”
- 注入/跨库查询/文件读写/常见的防护原理 详细图解 注入/跨库查询/文件读写/常见的防护原理 详细图解
- 表达式树对应`Expression<TDelegate>`类型,从Lambda表达式生成表达式树 表达式树对应`Expression<TDelegate>`类型,从Lambda表达式生成表达式树
上滑加载中
推荐直播
-
华为云码道-AI时代应用开发利器2026/03/18 周三 19:00-20:00
童得力,华为云开发者生态运营总监/姚圣伟,华为云HCDE开发者专家
本次直播由华为专家带你实战应用开发,看华为云码道(CodeArts)代码智能体如何在AI时代让你的创意应用快速落地。更有华为云HCDE开发者专家带你用码道玩转JiuwenClaw,让小艺成为你的AI助理。
回顾中 -
Skill 构建 × 智能创作:基于华为云码道的 AI 内容生产提效方案2026/03/25 周三 19:00-20:00
余伟,华为云软件研发工程师/万邵业(万少),华为云HCDE开发者专家
本次直播带来两大实战:华为云码道 Skill-Creator 手把手搭建专属知识库 Skill;如何用码道提效 OpenClaw 小说文本,打造从大纲到成稿的 AI 原创小说全链路。技术干货 + OPC创作思路,一次讲透!
回顾中 -
华为云一键云上部署Openclaw 实现“龙虾自由”2026/04/11 周六 14:00-16:00
秦拳德-中软国际教育卓越研究院研究员
还在为搭建AI环境而焦头烂额、彻夜难眠? 还在苦苦等待复杂工具的缓慢响应、迟迟无法推进项目? 别再犹豫,快来华为云,一键部署OpenClaw,轻松告别 繁琐配置,即刻畅享极速体验!更有龙虾实操演示全程护 航,真正解放双手,让办公效率实现质的飞跃。限时重磅 福利火热来袭,干万Tokens等你来瓜分,机会难得,不容 错过!
即将直播
热门标签