Finger
拎着烈酒背着孤独踟蹰的代码狗
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。具体来说,它是利用现有应用程序,将(恶意)的SQL命令注入到…
2016-09-29 1 Comment
1.SQL注入 1.1 普通注入 普通注入分为int型和string型,在string型注入中需要使用单或双引号闭合。   1.1.1 整型注入 测试代码: [PHP] 纯文本查看 复制代码 ? 01 02 03 04 05 06 …
2016-09-29 1 Comment
0X01 前言 最近工作忙成狗,欠了好几篇帖子,版主(@坏蛋)都催好几次了。这次给大家带来的仍然是一次授权渗透测试。目标是一家OA公司,并且是主站是asp站点,很久没有测试asp站点了,早些…
2016-09-29 0 Comment
0x001 起因 妹纸约我去后海喝咖啡,刚刚下车到了步行街,手机duang的一声   一图胜前言 0x002 疑惑后的恍然.. 打码范围是正常10086发给我的,是昨天家里人加进来短号了。下面一条是…
2016-09-29 1 Comment
刷洞归刷洞,蛋还是要扯的。漏洞从披露到研究员分析验证,再到 PoC 编写,进而到大规模扫描检测,在这环环相扣的漏洞应急生命周期中,我认为最关键的部分应该算是 PoC编写 和 漏洞检测 这…
2016-09-29 2 Comments
基本常识 简单判定有无漏洞: 粗略型:提交单引号' 逻辑型(数字型注入):and 1=1/and 1=2 逻辑型(字符型注入):' and '1'='1/' and '1'='2 逻辑型(搜索型注入):%' and 1=1 and '%'=…
2016-09-29 0 Comment
0x00   在开始文章之前,我想先向大家分享一下在乌云知识库中关于“逻辑漏洞”的两篇文章,关于密码找回:http://drops.wooyun.org/web/5048和关于在线支付:http://drops.wooyun.org/papers/3…
2016-09-29 1 Comment
本专题主要对常见安卓APP客户端漏洞原理进行分析,并给出详细的测试方法:   (1)Webview漏洞 新的Android Webview远程代码执行漏洞分析与测试方法 Android WebView 远程代码执行漏…
2016-09-29 1 Comment
0x00 科普 development version :开发版,正在开发内测的版本,会有许多调试日志。 release version : 发行版,签名后开发给用户的正式版本,日志量较少。 android.util.Log:提供了五…
2016-09-29 0 Comment
0x00 科普 Android每一个Application都是由Activity、Service、content Provider和Broadcast Receiver等Android的基本组件所组成,其中Activity是实现应用程序的主体,它承担了大量的显示…
2016-09-29 1 Comment