编码型参数注入
一、参数编码原理代码中对接收的参数进行了解码处理,例如: $id = base64_decode($_GET['x']); 代码中对传入的参数进行了base64解码处理,因此传入的参数应该是base64编码过的。 二、编码型参数注入在一些网站中,url中的参数经过了编码,如下图: ...
阅读更多
不同参数类型下的sql注入
一、三种参数类型数字型: 123$id=$_GET['x'];...$sql="select * from news where id = $id"; 字符型: 123$username=$_GET['user'];...$sql=&quo ...
阅读更多
post与cookie与http头注入
一、post与cookie注入http协议中有多种请求方式,请求方式不同,注入的方法也不同。 示例代码如下: 12345678<?php$a=$_GET['x']; //接受get请求方式的参数x的值$b=$_POST['y']; //接受post请求方式的参数y的值$c=$ ...
阅读更多
mysql高权限跨库注入
一、高权限跨库注入的作用当多个网站部署于同一数据库系统下: 1234|mysql数据库|---数据库A——网站A|---数据库B——网站B|---数据库C——网站C 假设网站A为我们的目标站点,无sql注入漏洞,而网站B具有sql注入漏洞,且为高权限注入点,那么就可以通过高权限跨库注入获得网站A的数 ...
阅读更多
mysql防护函数及设置
一、防护设置及函数1.1)magic_quotes_gpc配置项在php较低版本中(php version <= 5.3.0),配置文件php.ini有个配置项magic_quotes_gpc,俗称魔术引号。 magic_quotes_gpc配置项在php中的作用是判断解析用户输入的数据,如包 ...
阅读更多
高权限文件操作注入
一、确认当前账户是否为root当连接当前数据库的用户为root账户时,可以通过sql语句直接进行文件操作,查询当前账户的语句为: select user(); 只有当账户为root时,才有权限进行文件读写操作。 二、确认secure-file-priv参数mysql新版本下具有secure-fil ...
阅读更多
mysql常见注入流程
一、Mysql数据库结构及特性:1)Mysql数据库结构12345678|数据库A——网站A|--表|----列(字段)|------数据(值)数据库B——网站B......数据库C——网站C 注入的不同攻击方式及手法由数据库类型造成! 2)版本特性对于Mysql数据库,分为5.0以上和以下版本,区 ...
阅读更多
sql注入原理及拓展
一、SQL注入原理及拓展1.1、什么是sql注入?所谓SQL注入,就是通过把SQL命令插入到Web表单提交、输入域名或者页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 简单的来说,网站新闻内容,会员中心,查询等都会和数据库进行关联,其中传输的语言代码就是sql语句,攻击者通过操作sq ...
阅读更多
网络性能评估工具Iperf
本文转载自:安全运维之:网络性能评估工具Iperf,因原文时效性,更新了linxu系统下的安装部分。 网络性能评估主要是监测网络带宽的使用率,将网络带宽利用最大化是保证网络性能的基础,但是由于网络设计不合理、网络存在安全漏洞等原因,都会导致网络带宽利用率不高。要找到网络带宽利用率不高的原因,就需要对 ...
阅读更多
新手必须掌握的Linux命令学习笔记
本文是Linux就该这么学第二章学习过程中的笔记,仅作为日后回顾查阅用,侵删。 一、帮助命令man首先介绍一下常见Linux命令的格式,如下: 命令名称 [命令参数] [命令对象] 注意:命令名称、命令参数、命令对象之间有空格作为分隔。 命令参数的形式可分为长格式与短格式: 格式 示例 ...
阅读更多