编程语言 - CNHACK
中文黑客网 发布于 3-2
前置知识什么是sql注入?服务端没有对用户提交的参数进行严格的过滤,导致可以将SQL语句插入到可控参数中,改变原有的SQL语义结构,从而执行攻击者所预期的结果。sql注入的探测判断数据库类型端口报错信息一些中间件常用的数据库PHPMySQLASPSQLServerASPXSQLServerJSPMySQLOracle寻找SQL注入点寻找与数据库交...
阅读(43) 评论(0 )
中文黑客网 发布于 12-24
1.和变量相关的几个功能删除变量的功能unset()格式unset(变量)参数:要删除的变量返回值:该功能没有返回值检测变量是否设置值的功能isset()格式:返回值=isset(要检测的变量)参数:要检测的变量返回值:返回检测的结果,如果该变量设置值返回true,未设置值返回fasle只要赋值了不是null的数据,那么检测的结果都为true,如...
阅读(63) 评论(0 )
中文黑客网 发布于 12-23
一、进入PHP的奇幻之旅1、初识PHP1.认识PHP 1.什么是PHP-PHP超文本预处理器、一门服务器端的脚本语言-注意:所有的PHP文件不能双击运行,必须通过服务器来访问。 2.搭建PHP开发环境LAMPLinux(操作系统)Apache(服务器软件)MySQL(...
阅读(66) 评论(0 )
中文黑客网 发布于 9-8
信息安全的75%发生在Web应用而非网络层。本文内容主要以JavaWeb安全-代码审计为中心展开。一、JavaWeb安全基础1.何为代码审计?通俗的说Java代码审计就是通过审计Java代码来发现Java应用程序自身中存在的安全问题,由于Java本身是编译型语言,所以即便只有class文件的情况下我们依然可以对Java代码进行审计。对于未编译的J...
阅读(177) 评论(0 )
中文黑客网 发布于 9-8
目录0x3 – Fuzzer (编写fuzz测试脚本)0x4 – Python to EXE (生成exe)0x5 – Web Requests (用Python处理Web请求)0x3&nda...
阅读(155) 评论(0 )
中文黑客网 发布于 9-8
本系列文章适合CS在读学生和万年工具党,本文会在英文原文的基础上做些修改,并适当增加些解释说明。本篇包含原文的前几部分:0x0 – Getting Started - 从零开始0x1 – Get...
阅读(182) 评论(0 )
中文黑客网 发布于 9-6
摘要变量安全是PHP安全的重要部分,本文系统地分析了一个变量的“人生之旅”中存在哪些安全问题。变量的人生之路:传入参数-->变量生成-->变量处理->变量储存。Part1传入参数传参是一个从前台通过GET或者POST方法传递参数的过程,在这里我们往往会遇到URL-WAF的安全判断。URL-WAF指的是对请...
阅读(113) 评论(0 )
中文黑客网 发布于 8-11
PHP漏洞确实存在,今天我们就扒一扒这些漏洞。 在甲方公司做代码审计一般还是以白盒为主,漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露等。 1.xss+sql注入 其中占大头的自然是XSS与SQL注入,对于框架类型或者有公共文件的,建议在公共文件中统一做一次XSS和S...
阅读(150) 评论(0 )
