墨者学院

看天走路吃雪糕18 天前
数据库·http·sql注入·burpsuite·墨者学院·host注入
墨者:SQL注入漏洞测试(HTTP头注入)HTTP头注入是指攻击者通过篡改HTTP请求头部的字段(如User-Agent、Referer、Cookie、Host等),将恶意SQL代码插入到后端数据库查询中。当应用程序未对头部输入进行严格过滤时,可能导致数据库信息泄露或服务器被控制。
看天走路吃雪糕19 天前
xml·xpath·sql注入·墨者学院
墨者:XPath注入漏洞实战XPath注入是一种针对XML文档查询语言的注入攻击,类似于常见的SQL注入,但针对的是XPath查询语言。当Web应用程序使用用户输入来构造XPath查询语句时,如果未对用户输入进行严格过滤,攻击者就可以通过构造特殊的XPath查询来获取未授权的数据访问权限。
看天走路吃雪糕20 天前
数据库·sql·sql注入·墨者学院·万能口令
墨者:SQL过滤字符后手工绕过漏洞测试(万能口令)近期发现某登录系统存在SQL注入漏洞,攻击者可通过构造特殊用户名admin','a','a')#绕过身份验证。本文将深入解析其工作原理,并演示完整渗透测试流程。
看天走路吃雪糕20 天前
数据库·mysql·sql注入·sqlmap·墨者学院·字符型注入
墨者:SQL手工注入漏洞测试(MySQL数据库-字符型)字符型注入是指Web应用程序在处理用户输入时,使用**单引号(')**将输入内容包裹为字符串的SQL查询场景。例如:
看天走路吃雪糕21 天前
数据库·sql·sqlmap·墨者学院·布尔盲注
墨者:SQL注入漏洞测试(布尔盲注)布尔盲注(Boolean-based Blind SQL Injection)是SQL注入的一种形式,攻击者通过构造逻辑判断条件(如AND 1=1、OR 1=2),根据页面返回结果的差异(如内容变化、HTTP状态码)推断数据库信息。
admin and root2 年前
网络·后端·安全·web安全·网络安全·ruby on rails·墨者学院
墨者学院 Ruby On Rails漏洞复现第一题(CVE-2018-3760)打开 web 页面:发现是Ruby,在Ruby 3.7.1和更低版本中,存在由辅助解码引起的路径遍历漏洞。攻击者可以使用%252e%252e/访问根目录并读取或执行目标服务器上的任何文件。可以先检测一下是否有此漏洞:
admin and root2 年前
java·struts·安全·web安全·网络安全·apache·墨者学院
墨者学院 Apache Struts2远程代码执行漏洞(S2-032)打开 web 页面:利用Struts2工具进行远程命令执行