技术栈
sql注入
Bug.ink
8 天前
web安全
·
网络安全
·
sql注入
sqli_labs_master Less-8 时间盲注,boolen盲注 获取数据库中的表、列
Amd794
10 天前
性能优化
·
存储过程
·
触发器
·
sql注入
·
数据库安全
·
数据完整性
·
参数化查询
存储过程与触发器:提高数据库性能与安全性的利器
title: 存储过程与触发器:提高数据库性能与安全性的利器 date: 2025/2/12 updated: 2025/2/12 author: cmdragon
测试小罡
12 天前
渗透测试
·
sql注入
SQL注入之布尔盲注
布尔盲注是一种基于布尔逻辑的SQL注入攻击技术,其核心原理是通过构造特定的SQL查询语句,利用应用程序对查询结果的不同响应(通常是真或假)来逐步推断数据库中的信息。由于这种攻击方式不会直接返回数据库的具体内容,而是通过观察应用程序的响应行为(如页面内容的变化、HTTP状态码、响应时间等)来间接获取数据,因此被称为“盲注”。
测试小罡
13 天前
渗透测试
·
sql注入
SQL注入之时间盲注
时间盲注技术的核心在于巧妙地运用数据库中的时间延迟函数(例如 MySQL 的 SLEEP() 函数或 PostgreSQL 的 PG_SLEEP() 函数)来验证注入条件的有效性。当注入条件成立时,数据库会执行这些延迟函数,从而导致页面响应时间显著增加;反之,若条件不成立,则不会产生延迟效果。这项技术之所以被称为“盲注”,原因在于它并不能直接将查询结果反馈到页面或接口返回值中,而是依赖于SQL语句执行所产生的时间延迟来间接推断数据内容。
测试小罡
14 天前
渗透测试
·
sql注入
SQL注入之联合查询注入
联合查询注入是一种常见的SQL注入攻击手法,其核心原理是利用SQL中的UNION操作符将多个SELECT语句的结果集合并,从而返回一个统一的结果集。在使用UNION时,必须确保前后两个查询的列数相同,且对应列的数据类型兼容。攻击者通过构造恶意查询,将数据库中的敏感信息(如数据库名称、表名、列名等)与正常查询结果一并输出,从而窃取关键数据。这种攻击方式通常用于探测数据库结构并获取未经授权的信息。
NPE~
18 天前
数据库
·
安全
·
渗透测试
·
教程
·
漏洞
·
sql注入
[漏洞篇]SQL注入漏洞详解
把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。通过构造恶意的输入,使数据库执行恶意命令,造成数据泄露或者修改内容等,以达到攻击的目的。主要是由于应用程序对用户的输入没有进行严格的过滤而造成的。
shenghuiping2001
1 个月前
mysql
·
web
·
sql注入
·
sqlmap
SQLmap 自动注入 -02
1: 如果想获得SQL 数据库的信息,可以加入参数: -dbssqlmap -u "http://192.168.56.133/mutillidae/index.php?page=user-info.php&username=xiaosheng&password=abc&user-info-php-submit-button=View+Account+Details" --batch -p username -dbs
一只淡水鱼66
2 个月前
sql
·
spring
·
mybatis
·
sql注入
【mybatis】详解 # 和 $ 的区别,两者分别适用于哪种场景,使用 $ 不当会造成什么影响
在MyBatis中,# 和 $ 是用来处理参数的两种不同方式,它们之间有一些重要的区别:# 符号:# 是用来进行参数占位符的,它会进行 SQL 注入防护。使用 # 时,MyBatis 会将参数值进行预处理,以防止 SQL 注入的问题。
独行soc
2 个月前
数据库
·
安全
·
web安全
·
漏洞挖掘
·
sql注入
·
hw
·
xml注入
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍11基于XML的SQL注入(XML-Based SQL Injection)
免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅读。
独行soc
2 个月前
数据库
·
安全
·
web安全
·
漏洞挖掘
·
sql注入
·
hw
#渗透测试#漏洞挖掘#红蓝攻防#护网#sql注入介绍10基于文件操作的SQL注入(File-Based SQL Injection)
免责声明 本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅读。
摸鱼也很难
3 个月前
笔记
·
sql
·
安全
·
sql注入
·
盲注
小迪安全笔记 第四十四天 sql盲注 && 实战利用sql盲注 进行漏洞的利用
什么是盲注 就是我们什么也不知道的情况下进行的注入 前边的注入 都是简单的注入 我们猜测 数据类型 之后 可以直接 union 去查 这种情况多用于 数据库增删查改中的 查
摸鱼也很难
3 个月前
笔记
·
安全
·
web安全
·
sql注入
·
pikachu
小迪安全第四十二天笔记 简单的mysql注入 && mysql的基础知识 用户管理数据库模式 && mysql 写入与读取 && 跨库查询
之前的安全开发我们学习了 php联动数据库的模式 ,这个模式是现在常用的模式 这一节来学习 如何 进行数据库的注入和数据库相关知识
风飘红技术中心
4 个月前
sql
·
web
·
ctf
·
sql注入
·
网鼎杯
2024-网鼎杯第二次模拟练习-web02
进入做题页面,经过信息搜集和目录扫描,发现只有一个公告是可以利用的`http://0192c74e0f9871c2956795c804c3dde3.8nfp.dg01.wangdingcup.com:43014/OA_announcement.php?id=1`
ccc_9wy
4 个月前
数据库
·
sql
·
web安全
·
网络安全
·
sql注入
·
sqlmap
·
盲注
sql-labs靶场第十六关测试报告
目录一、测试环境1、系统环境2、使用工具/软件二、测试目的三、操作过程1、寻找注入点2、注入数据库①寻找注入方法
ccc_9wy
4 个月前
数据库
·
sql
·
web安全
·
网络安全
·
sql注入
·
sqlmap
·
布尔盲注
sql-labs靶场第十五关测试报告
目录一、测试环境1、系统环境2、使用工具/软件二、测试目的三、操作过程1、寻找注入点2、注入数据库①寻找注入方法
ccc_9wy
4 个月前
数据库
·
sql
·
web安全
·
网络安全
·
sql注入
·
sqlmap
·
报错注入
sql-labs靶场第十四关测试报告
目录一、测试环境1、系统环境2、使用工具/软件二、测试目的三、操作过程1、寻找注入点2、注入数据库①寻找注入方法
穿鞋子泡脚
4 个月前
数据库
·
sql
·
web安全
·
漏洞挖掘
·
sql注入
关于sql注入预编译的思考
是通过操作输入的数据来修改事先定义好的SQL语句,以达到执行代码对服务器进行攻击的方法。将sql语句预先编译一次,后面用户输入的数据将参数化执行,不会再编译一次,更安全。
癞皮狗不赖皮
5 个月前
数据库
·
oracle
·
sql注入
WEB攻防- Oracle基本注入
前置知识案例1、判断是否存在and 1=1 返回正常and 1=2 返回错误4.判断是否位oracle 可以通过dual来判断,and exists(select * from dual) 通过版本号判断,and (select count(*) from v$version) > 0 通过特有的函数判断,and bitand(1,1)=1 返回正常说明是oracle 5.判断列数 order by 2
小小工匠
5 个月前
安全
·
sql注入
·
xss攻击
·
代码注入
加密与安全_三种常见的注入攻击
注入攻击是指攻击者通过传递恶意数据,将这些数据当作代码在目标系统中执行。这类攻击的本质是数据与代码的边界被打破,导致数据被误执行。常见的注入攻击类型包括:
我能突破限制.
5 个月前
网络安全
·
sql注入
·
报错注入
·
联合查询注入
渗透测试(第三章SQL注入实战上)
我们接着上一篇文章讲,没有基础的同学请看我上一篇文章:渗透测试(第三章SQL注入基础)我打算通过实战讲解具体操作,不然讲的很抽象。我们使用DVWA靶场和sqli-labs靶场进行学习。