sql注入

探索者012 天前
web安全·sql注入
SQL注入介绍摘要:本文介绍了SQL注入的概念、产生原因、危害,详细描述了其在渗透中的利用方式,包括绕过验证、获取敏感数据等,并探讨了如何挖掘SQL注入漏洞和判断其存在的方法。
Nanhuiyu8 天前
web安全·sql注入·白帽江湖·延迟注入
白帽江湖实战靶场SQL注入篇:SQL注入 - 延迟注入(无防护)打开首页后,可以直接看到:前端核心请求逻辑大致如下:说明后端会接收 GET 参数 order_no,这是我们的注入点。
Nanhuiyu8 天前
web安全·sql注入·布尔盲注·白帽江湖
白帽江湖实战靶场SQL注入篇:SQL注入 - 布尔盲注(无防护)靶场地址:白帽江湖 SQL注入:布尔盲注(无防护)说明:本文仅记录在该授权靶场中的测试过程,用于学习布尔盲注的基本思路。
Nanhuiyu8 天前
web安全·sql注入·报错注入·白帽江湖
白帽江湖实战靶场SQL注入篇:SQL注入 - 报错注入(无防护)靶场地址:白帽江湖 SQL注入:报错注入(无防护)说明:本文仅记录在该授权靶场中的测试过程,用于学习报错型 SQL 注入的基本思路。
HackTwoHub15 天前
人工智能·web安全·网络安全·系统安全·安全架构·sql注入
全新 AI 赋能网安平台 基于 Mitmproxy 流量分析自动化资产挖、轻量化综合渗透工具箱Facai 是一款全新 AI 赋能的轻量化网安平台,基于 Mitmproxy 实现全量 HTTP 流量捕获与深度分析,集成资产测绘、被动爬虫与无害化漏洞检测能力。可自动抓取浏览器及应用流量,智能分离站点、子域名与请求数据,完成资产梳理与漏洞初筛(XSS/SQL/SSRF/RCE)。内置端口扫描、请求重放、编码解码等实用工具,支持 DNSlog 盲打与自定义 payload,适配红队日常与自动化运营场景。系统低依赖、易部署,全程可视化操作,让安全测试更高效便捷。
HackTwoHub16 天前
人工智能·web安全·网络安全·开源·系统安全·安全架构·sql注入
开源AI渗透测试的终极形态,让渗透测试进入“自动驾驶“时代、让渗透测试全自动!在网络安全领域,自动化渗透测试工具层出不穷,但真正能做到"全自主、零干预、企业级"的开源方案却凤毛麟角。
其实防守也摸鱼21 天前
网络·数据库·sql·安全·网络安全·sql注入·报错注入
《SQL注入进阶实验:基于sqli-Labs的报错注入(Error-Based Injection)实战解析》本文为了知识更简单易懂,会用专业术语和通俗例子解释,篇幅较长,语言有些冗余,希望大家都能认认真真搞懂原理!
锐速网络22 天前
web安全·网络安全·渗透测试·漏洞复现·sql注入·文件上传漏洞·漏洞验证
渗透测试中如何验证漏洞真实存在渗透测试的核心价值在于验证漏洞真实可利用。在实际测试过程中,自动化扫描工具(如Xray、Nessus、AWVS)常会产生误报。部分看似存在的漏洞,实则是工具对正常业务逻辑的误判,或受WAF、IPS等防护设备干扰导致的虚假提示。若直接将误报漏洞纳入测试报告,不仅会误导开发人员进行无效修复,还会降低渗透测试的专业性与可信度。因此,漏洞验证是渗透测试流程中不可或缺的关键环节,也是区分资深测试人员与新手的核心能力。
味悲23 天前
安全·sql注入
SQL预编译学习笔记git命令如何查看所有提交的log,如何把head指针指向某个特定log使用 git log 命令可以查看仓库的提交历史,它会展示每个提交的哈希值、作者、日期、提交信息等详细信息。
PyHaVolask1 个月前
渗透测试·漏洞复现·sql注入·内核漏洞·joomla·本地提权
Joomla 3.7.0 渗透测试全流程复现:从信息收集到本地提权声明:本文内容仅用于 CTF 靶场学习与安全研究,所有操作均在授权的虚拟靶机环境中完成。严禁将本文技术用于未授权的真实系统。
悟道子HD1 个月前
sql·web安全·网络安全·渗透测试·sql注入·sqlmap·暴力破解
SRC漏洞挖掘——2.SQL注入漏洞实战详解原理SQL注入是将Web页面的原URL、表单域或数据包输入的参数,修改拼接成SQL语句,传递给Web服务器. 导致攻击者可执行恶意SQL命令对WEB服务器进行攻击的方法
PyHaVolask2 个月前
渗透测试·sql注入·python脚本·数据库安全·时间盲注
SQL 注入实战:时间盲注原理与 Python 脚本详解前两篇文章介绍了布尔盲注——它依赖页面在"正确"和"错误"时呈现不同内容。但如果目标页面对任何输入都返回完全相同的响应,布尔盲注就彻底失效了。
PyHaVolask2 个月前
web安全·渗透测试·sql注入·python脚本·布尔盲注
SQL 注入实战:布尔盲注完整流程与 Python 脚本详解上一篇文章介绍了布尔盲注的原理与二分查找优化方案。本篇聚焦于完整的手工注入流程与线性枚举脚本的实现逻辑,帮助你从"知道原理"到"能够走通完整攻击链路"。
PyHaVolask2 个月前
sql注入·二分查找算法·自动化脚本·布尔盲注·sqli-labs靶场
SQL 注入实战:布尔盲注原理与自动化脚本解析在真实的渗透测试环境中,SQL 注入并不总是“有回显”的理想场景。更多时候,开发者已经屏蔽了报错信息,页面看似风平浪静,却暗藏数据泄露的入口。此时,盲注技术便成为攻击者与数据库之间唯一的“对话方式”。
xcLeigh2 个月前
数据库·数据安全·sql注入·kingbasees·金仓数据库·数据补丁
SQL 注入防不住?金仓内核级防火墙,白名单防护零误报在数字化转型的浪潮中,数据已成为企业的核心资产。然而,SQL注入攻击如同潜伏在阴影中的“不速之客”,时刻威胁着数据库的安全。即使开发团队严守预编译、输入过滤等防线,遗留代码、第三方组件的漏洞或人为疏忽仍可能给攻击者可乘之机。难道只能被动挨打、疲于补漏吗?
努力的lpp3 个月前
数据库·web安全·网络安全·sql注入
SQLMap CTF 常用命令全集表格表格表格表格表格bash运行bash运行bash运行bash运行bash运行若步骤 1 探测时被 WAF 拦截(如安全狗),追加 tamper 脚本和延迟:
努力的lpp3 个月前
数据库·sql·web安全·网络安全·sql注入
SQL 报错注入表格sqlsqlsqlsqlsqlsqlsqlsqlsqlsqlsqlsqlsql表格通过以上步骤,可完整实现三大核心函数的报错注入,高效获取数据库敏感数据。关键在于掌握 “函数组合触发报错” 的核心逻辑,同时注意语法闭合、长度限制和防护绕过
味悲4 个月前
安全·sql注入
SQL注入学习笔记一php.ini中disable_functionns可以禁用函数include预防产生原因:include包含点用户可控
mooyuan天天4 个月前
sql注入·sqlmap·sql注入漏洞·ctf-pte
CISP-PTE SQL注入关卡渗透实战(手注法+sqlmap法)目录一、渗透实战1、打开靶场2、代码审计3、构造闭合(1)原始SQL语句(2)最终SQL语句4、获取列数
mooyuan天天4 个月前
cisp-pte·sql注入·sqlmap·sql注入漏洞
CISP-PTE SQL注入3(两种方法渗透:手注法+sqlmap法)目录一、渗透实战1、打开靶场2、构造闭合1%')%#(1)URL编码(2)--+注释3、order by获取列数