1、文件上传(File Upload)是大部分Web应用都具备的功能,例如用户上传附件、修改头像、分享图片/视频等 2、正常的文件一般是文档、图片、视频等,Web应用收集之后放入后台存储,需要的时候再调用出来返回 3、如果恶意文件如PHP、ASP等执行文件绕过Web应用,并顺利执行,则相当于黑客直接拿到了Webshell 4、一旦黑客拿到Webshell,则可以拿到Web应用的数据,删除Web文件,本地提权,进一步拿下整个服务器甚至内网 5、SQL注入攻击的对象是数据库服务,文件上传漏洞主要攻击Web服务,实际渗透两种相结合,达到对目标的深度控制
2021-08-15 14:45:07
4.53MB
1
背景与现状
初阶安全实践
最佳安全实践:Security By Default
2021-08-12 09:00:31
1.4MB
注入步骤:
检查注入点
sqlmap -u http://url
列数据库信息
sqlmap -u http://url --dbs
指定库名列出所有表
sqlmap -u http://url -D dbname --tables
指定库名表名列出所有字段
sqlmap -u http://url -D dbname -T tablename --columns
指定库名表名字段dump出指定字段
sqlmap -u http://url -D dbname -T tablename -C ac,id,password --dump
2021-08-12 01:34:49
10.75MB
1
SQL 注入SQL 注入原理篇 - SQL 注入初级
SQL 注入中级
SQL 注入高级
SQL 工具篇
DNS 注入 &sqlmap 进行 DNS 注入
11 种常见 SQLmap 使用方法
SQL注入工具
SQL注入工具拓展篇
SQL 注入实战篇 - Thinkphp 框架 3.2.x sql 注入漏洞分析
ThinkPHP框架 < 5.0.16 sql注入漏洞分析
宽字节注入详解
2021-08-08 17:01:06
19.58MB
【IT十八掌徐培成】Java基础第23天-02.sql注入-preparedstatement-批量插入.zip
2021-08-08 09:02:33
84.94MB