SQL注入的防御
...
浅谈预编译之于SQL注入防御
前言一提到SQL注入的防御,首先想到的就是预编译咯,但是我之前并没有仔细研究过预编译,于是今天来谈一谈预编译是如何防御SQL注入的?预编译真的能防御所有的SQL注入吗? 以php+mysql为例 SQL语句的执行流程在执行 SQL 语句时,数据库通常经历以下步骤: 解析(Parsing):数据库接收到 SQL 语句后,首先对其进行关键字、标识符、运算符的分解,然后进行解析和语法分析。这一步骤的目的是检查 SQL 语句的语法是否正确,并将其转换为一个解析树或语法树。 预处理(Preprocessing):解析后的 SQL 语句会进行预处理,包括检查语句中涉及的表和字段是否存在,用户是否有足够的权限来执行该操作,同时检查语义的正确性等。 优化(Optimization):在这个阶段,数据库优化器会根据数据库的统计信息和索引等信息,生成一个高效的查询执行计划。优化的目的是选择最优的执行路径,以提高查询性能。 生成执行计划(Execution Plan...
记一次对某佛教系统的漏洞挖掘
业务介绍是一个某佛教的系统 有一些佛教的学习资源、一些佛教相关的实物商品可购买,有个人中心,供奉活动,讲堂,禅院动态 漏洞发现获得测试账号权限由于没有普通用户权限,只是访客权限,于是想先注册一个账号 结果是不允许注册的,只允许已有的用户进行登录,输入我的手机号会校验是否是已有的用户,不是则不允许发送验证码 这可怎么办呢,爆破手机号显然不现实,而且就算爆破手机号,也无法收到验证码啊,这样一来连普通用户权限都没有了,这对进行其他功能点的测试来说是一个极大的阻碍 于是我不死心地再试了试测试手机号,也就是开发在做这个发送验证码的功能时,大都会创建一个默认的测试手机号,用来验证功能是否完善有无bug等等,如果开发没有即时删除这个默认的测试手机号,攻击者就能轻易以测试账号的权限登录进系统,因为这种测试账号的密码也一般就是弱口令 于是我试了试经典的 13888888888、15888888888、18888888888...
SRC案例-一枚价值2500刀乐的IDOR漏洞
业务描述 首先,xxx.xxx.com中的用户可以通过填写的电子邮件重置账号密码 在 xxx.xxx.com 上,可以创建一个组织并添加该组织的成员,有两种方式可在组织中添加成员。 第一种,可以通过使用填写对方的电子邮件地址邀请他们,需等待对方同意后方可成功添加 第二种,比较不同了,开始只需要任意填写成员姓名,这被称为演示用户,添加演示用户后,可以编辑它并添加电子邮件地址,然后仍然是需等待对方同意后方可成功添加,以使其成为实际用户 漏洞发现 首先创建了组织test 然后创建了演示用户B,只填写了成员姓名 然后给用户B赋予一个电子邮件地址,并抓包,数据包如下: 123456789101112131415POST /<organizationID>/addEmail/<DemoUserID>/ HTTP/2Host: redacted.comUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:106.0) Gecko/20100101 Firefox/106.0Accept:...
beef一款XSS神器
beef简介xss平台师傅们都用过吧,beef呢其实也相当于一个xss平台,只是功能更强大一些,它有一个hook.js钩子,只要把这段代码插入到存在存储型xss漏洞的网站,那么访问者的浏览器就会沦陷,通过hook.js钩子,访问者的浏览器会被持续化的控制住,利用beef可以执行很多强大的模块,进一步获取敏感信息,钓鱼,探测内网等等 beef的特点是有个缓存污染机制。目标网站只要触发过一次XSS,就会被污染缓存,目标下次访问这个网站,还是会一直上线。而且目标只要开着这个网页,那么就会一直在线上,除非目标专门清理缓存,不然很难摆脱beef 安装https://cloud.tencent.com/developer/article/2196746 基本界面介绍可以看看这个从0到1简单的熟悉一下基本操作: https://blog.csdn.net/smli_ng/article/details/106067842 使用在本地搭建beef,使用自带的demo演示一些好玩的功能嘿嘿 执行任意JSRaw JavaScript 实用功能,在目标页面上实时执行JS代码 弹窗诱导Create...
JS逆向实战-房天下登录系统
加密发现开局一个登录框,开逆! 输入任意账号密码登录,抓包,看看载荷 pwd是密码参数,被前端加密了 密码合法性前端校验如果我输入一长串密码,点击登录,发现抓不到登录包,为什么呢? 来看看js怎么写的吧,多半是有前端的密码合法性校验,只有先通过了前端的合法性校验,数据包才能发给服务器,才能被抓到包 好家伙,一眼就找到了,原来是限制了密码的位数6-16位,否则就不发包,over 逆向加密过程ok,进入正题 全局搜索pwd,寻找pwd的加密入口点,我自称加密点 看到了”encrypt”多半就是这里了,点击跟进,为了确定加密点就是这里,可以在这里下个断,再点击登录触发加密流程,看看是否程序会停在这里,调试一下值,看看是否真的是在经过这个点之后,pwd就由明文变为密文了 (由于我登录次数太多,被封了24h,就没办法放调试结果的截图了,但之前我调试成功了) 经测试,这里的确是加密点,分析一下 1encryptedString(key_to_encode,...
JS逆向实战-南京大学统一身份认证平台
前言:OK,今天开始学习一些基本的JS逆向技术,先达到能逆向出一些简单站点的校验参数、密码等的加密流程,并能写出py脚本爆破密码的程度,话不多说,上案例 加密发现 打开目标,南京大学统一身份认证平台,如果加密的话那肯定是加密密码参数 输入admin 123456测试看看,F12,抓包,看看登录包载荷 果然密码参数被加密了,看样子肯定不是base64等等简单的加密 本地禁用js,还是输入admin 123456,再次抓登录包,看看载荷 密码就以明文形式呈现了,说明加密密码参数的逻辑就写在js代码中,尝试通过分析js逆向出加密流程,这样就可以爆破密码了 逆向加密流程直接全局搜索 password 参数,定位到加密代码段 这里似乎找到了加密password参数的加密点,到底是不是呢? 可以下个断,调试验证一下,在第90行打上断点: 再次输入admin...
瑞友天翼RCE漏洞复现
...