记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

MySql data目录 mysql-bin.000001文件清理方法

MySql data目录 mysql-bin.000001文件清理方法 在MYSQL安装目录写,data目录存放着所有数据库的文件,在这个目录下有一些mysql-bin.000001,mysql-bin.000002,mysql-bin.000003类似的文件占用很大的空间,这些文件都是数据库的操作日志文件,可以清除掉。
发布时间:2021-11-30 02:11 | 阅读:708 | 评论:0 | 标签:学习路上 mysql-bin.000001 reset master SQL

【网络安全基础教程】SQL注入攻击防范方法有哪些?

  SQL注入攻击是最危险的Web漏洞之一,危害性极大,造成的后果不堪设想,因此受到了大家的高度重视。那么你知道SQL注入攻击防范方法有哪些吗?我们来看看详细的内容介绍。   SQL注入攻击的危害很大,而且防火墙很难对攻击行为进行拦截,主要的SQL注入攻击防范方法,具体有以下几个方面。   1、分级管理   对用户进行分级管理,严格控制用户的权限,对于普通用户,禁止给予数据库建立、删除、修改等相关权限,只有系统管理员才具有增、删、改、查的权限。   2、参数传值   程序员在书写SQL语言时,禁止将变量直接写入到SQL语句,必须通过设置相应的参数来传递相关的变量。从而抑制SQL注入。
发布时间:2021-11-29 06:59 | 阅读:1564 | 评论:0 | 标签:注入 攻击 SQL 网络安全 安全 网络

【网络安全知识入门】SQL注入攻击分为几类?

  SQL注入攻击是黑客对数据库进行攻击的常用手段之一,具有很大的危害性,那么SQL注入攻击类型分为几种?以下为大家作了详细的介绍。   SQL注入攻击类型分为几种?   1、基于布尔的盲注   因为Web的页面返回值都是True或者False,所以布尔盲注就是注入后根据页面返回值来得到数据库信息的一种办法。   2、基于时间的盲注   当布尔型注入没有结果的时候,我们很难判断注入的代码是否被执行,也可以说到底这个注入点存不存在?这个时候布尔型注入就无法发挥自己的作用。基于时间的盲注便应运而生,所谓基于时间的盲注,就是我们根据Web页面相应的时间差来判断该页面是否存在SQL注入点。
发布时间:2021-11-21 17:44 | 阅读:7972 | 评论:0 | 标签:注入 攻击 SQL 网络安全 安全 网络

什么是SQL注入、XSS以及CSRF?【网络安全知识培训】

  想必很多人都看到过SQL注入、XSS以及CSRF这三个词,但大部分人对它根本不了解,甚至不知道其含义是什么。接下来,小编为大家详细介绍一下什么是SQL注入、XSS以及CSRF?不知道的人快来看看吧。   SQL注入   SQL注入属于注入式攻击,这种攻击是因为在项目中没有将代码与数据隔离,在读取数据的时候,错误的将数据作为代码的一部分执行而导致的。   如何处理SQL注入情况?三个方面:   1、过滤用户输入参数中的特殊字符,降低风险;   2、禁止通过字符串拼接sql语句,严格使用参数绑定来传入参数;   3、合理使用数据库框架提供的机制。
发布时间:2021-11-11 15:03 | 阅读:9436 | 评论:0 | 标签:xss 注入 CSRF SQL 网络安全 安全 网络

易受 SQL 注入攻击的飞利浦 Tasy EMR 医疗保健信息解决方案

飞利浦 Tasy EMR 是一种全面的医疗信息学解决方案,主要在南美洲的数千家医院和医疗基础设施中使用。该产品受到两个关键 SQL 注入漏洞的影响,分别跟踪为 CVE-2021-39375 和 CVE-2021-39376。这两个问题都会影响 Tasy EMR HTML5 3.06.1803 版本及之前版本,该公司通过发布 3.06.1804 版本解决了这些问题。这些漏洞的 CVSS v3 严重性评分为 8.8。这些漏洞被评为严重漏洞,因为攻击者可以利用它们来访问敏感的医疗数据,例如患者记录和财务数据。
发布时间:2021-11-07 14:58 | 阅读:10569 | 评论:0 | 标签:注入 攻击 SQL

一步一步教你漏洞挖掘之某计费系统SQL注入漏洞分析

引言B***是一款基于.NET WebForm开发的计费软件,近日看到网上曝光B***存在SQL注入漏洞CVE-2021-4***,结合xp_cmdshell可以实现RCE。官方下载需要注册,通过搜索引擎找到了老版本软件安装包,完成安装后,对漏洞进行了简单分析。漏洞分析漏洞本身比较简单。
发布时间:2021-11-03 09:44 | 阅读:12734 | 评论:0 | 标签:注入 漏洞 SQL 分析

【技术原创】vSphere开发指南4——PostgreSQL

0x00 前言在之前的三篇文章《vSphere开发指南1——vSphere Automation API》、《vSphere开发指南2——vSphere Web Services API》和《vSphere开发指南3——VMware PowerCLI》介绍了同虚拟机交互的方法,能够远程导出虚拟机的配置信息,本文将要介绍在vCenter上通过PostgreSQL数据库导出虚拟机配置信息的方法。
发布时间:2021-10-22 13:15 | 阅读:15762 | 评论:0 | 标签:SQL

【最新漏洞预警】CVE-2021-2471-MySQL JDBC XXE漏洞分析与概念验证

漏洞概述MySQL JDBC是Oracle开发的针对MySQL数据库操作的统一接口。近日网上爆出了MySQL JDBC存在XXE漏洞,漏洞编号为CVE-2021-2471,影响MySQL JDBC v8.0.27版本之前版本。看到漏洞信息后,第一时间查看了相关信息,官方把漏洞复现部分打上了马赛克,在对该漏洞进行简单分析后,发现整个过程其实比较简单,自己做了一个概念验证,这里分享给大家。漏洞分析0x01 环境构建构建研究环境,分别下载MySQL JDBC v8.0.26和MySQL JDBC v8.0.27两个版本。
发布时间:2021-10-22 09:34 | 阅读:35928 | 评论:0 | 标签:漏洞 CVE SQL xxe 分析

如何防止SQL注入攻击?网络安全防御方法

  SQL注入攻击是比较常见的网络攻击方式之一,具有很大的危害性,那么如何防止SQL注入攻击呢?接下来我们来看看详细的介绍。  1,避免将用户提供的输入直接放入SQL语句中,最好使用准备好的语句和参数化查询,这样更加安全。  2,不要将敏感数据保存在纯文本中,加密存储在数据库中的私有或机密数据,这样可以提供另一级保护,以防止攻击者成功地排出敏感数据。  3,将数据库用户的功能设置为最低要求,这将限制攻击者在设法获取访问权限时可以执行的操作。  4,避免直接向用户显示数据库错误,攻击者可以使用这些错误消息来获取有关数据库的信息。
发布时间:2021-10-20 15:01 | 阅读:11804 | 评论:0 | 标签:注入 防御 攻击 SQL 网络安全 安全 网络

SQL注入原理及代码分析

1)前言我们都知道,学安全,懂SQL注入是重中之重,因为即使是现在SQL注入漏洞依然存在,只是相对于之前现在挖SQL注入变的困难了。而且知识点比较多,所以在这里总结一下。通过构造有缺陷的代码,来理解常见的几种SQL注入。本文只是讲解几种注入原理,没有详细的利用过程。
发布时间:2021-10-20 12:15 | 阅读:14505 | 评论:0 | 标签:注入 SQL 分析

mysql 5.7 全部函数汇总

名称 描述 & 按位与 > 大于运算符 >> 右移 >= 大于或等于运算符 < 少于运算符 <>, != 不等于运算符 << 左移 <= 小于或等于运算符 <=> NULL安全等于运算符 %, MOD 模运算符 * 乘法运算符 + 加法运算符 - 减号 - 更改参数的符号 -> 评估路径后从JSON列返回值;等效于JSON_EXTRACT()。
发布时间:2021-10-18 15:28 | 阅读:12660 | 评论:0 | 标签:精品分享 mysql 5.7 全部函数汇总 SQL

SQL注入的详细过程!网络安全学习内容

  SQL注入是网络安全中非常常见的攻击方式之一,分为不同的类型,且具有严重的危害,那么你知道SQL注入的详细过程吗?以下是相关内容介绍,希望大家能够仔细阅读,做好防范措施。   SQL注入详细过程:   第一步:SQL注入点探测。探测SQL注入点是关键的第一步,通过适当的分析应用程序,可以判断什么地方存在SQL注入点。通常只要带有输入提交的动态网页,并且动态网页访问数据库,就可能存在SQL注入漏洞。如果程序员信息安全意识不强,采用动态构造SQL语句访问数据库,并且对用户输入未进行有效验证,则存在SQL注入漏洞的可能性很大。一般通过页面的报错信息来确定是否存在SQL注入漏洞。
发布时间:2021-10-17 04:28 | 阅读:26671 | 评论:0 | 标签:注入 学习 SQL 网络安全 安全 网络

zzzcmsV1.8 前台某处SQL注入漏洞

Injection point: http://127.0.0.1/zzzphp/form/index.php?module=getjsonpayload:table=gbook&where[]=1=1 union select password from zzz_user&
发布时间:2021-10-13 04:33 | 阅读:13245 | 评论:0 | 标签:注入 cms 漏洞 SQL

从伪造通行证到SQL注入

    涉及本校网络安全,请勿转载。    因为疫情 导致了我们学校出门必须要钉钉申请通行证才可以bypass门卫离开学校。
发布时间:2021-10-13 04:33 | 阅读:10425 | 评论:0 | 标签:注入 SQL

SQL注入学习 | 原理及产生过程

简介: 最近在学习关于SQL注入方面的知识,想将一些相关的知识点做个汇总和笔记,方便日后的查阅也方便现在的学习。因为刚开始学习,涉猎还没有很深入,本章将简单的讲讲关于SQL注入的原理及其产生的过程和基本的一些加固方法。最近在学习关于SQL注入方面的知识,想将一些相关的知识点做个汇总和笔记,方便日后的查阅也方便现在的学习。因为刚开始学习,涉猎还没有很深入,本章将简单的讲讲关于SQL注入的原理及其产生的过程和基本的一些加固方法。
发布时间:2021-10-10 12:15 | 阅读:16820 | 评论:0 | 标签:注入 学习 SQL

【网络安全】什么是SQL注入漏洞?SQL注入的特点!

  什么是SQL注入漏洞?SQL注入漏洞有什么特点?SQL注入漏洞是一种常见的Web安全漏洞,通过这个漏洞可以访问和修改数据,也可以利用潜在的数据库漏洞进行攻击。   什么是SQL注入漏洞?   SQL是操作数据库数据的结构化查询语言,网页的应用数据和后台数据库中的数据进行交互时会采用SQL。   SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
发布时间:2021-10-07 15:00 | 阅读:19969 | 评论:0 | 标签:注入 漏洞 SQL 网络安全 安全 网络

pymysql 报错:from . import connections # noqa: E402

报错内容,所在文件 /Library/Frameworks/Python.framework/Versions/3.6/lib/python3.6/site-packages/peewee.py try: import MySQLdb as mysql # prefer the C module. except ImportError: try: import
发布时间:2021-09-29 08:44 | 阅读:24534 | 评论:0 | 标签:业界快讯 SQL

使用SQLancer检测DBMS中的逻辑漏洞

关于SQLancerSQLancer,全称为Synthesized Query Lancer,该工具是一款针对数据库管理系统DBMS的自动化安全测试工具。该工具可以帮助广大研究人员轻松识别应用程序实现中的逻辑漏洞。我们这里所指的逻辑漏洞,即能够导致DBMS获取错误结果集的安全漏洞(比如说忽略数据记录等等)。SQLancer能够在下面两个阶段进行操作:1,数据库生成:此阶段的目标是创建一个填充有数据的数据库,并向DBMS输入测试用例以尝试识别和检测不一致数据库状态。随后,该工具将会创建一个随机表,并随机选择SQL语句来生成、修改和删除数据。
发布时间:2021-09-27 18:58 | 阅读:18641 | 评论:0 | 标签:漏洞 SQL

信息安全建设-搭建mysql数据库审计平台

一、数据库审计的意义 数据库审计是对数据库访问行为进行监管的系统,一般采用旁路部署的方式,通过镜像或探针的方式采集所有数据库的访问流量,并基于SQL语法、语义的解析技术,记录下数据库的所有访问和操作行为,例如访问数据的用户(IP、账号、时间),操作(增、删、改、查)、对象(表、字段)等。数据库审计平台一般用来发现非法操作、数据泄露或篡改、及可疑入侵行为等,二是支持实时告警,及时发现可疑操作,及时处理和阻断可能发生的各类风险。 二、数据库审计的方法 数据库审计需要采集到数据库的流量才可以进行审计,如何才能收集数据库的流量呢。
发布时间:2021-09-26 17:59 | 阅读:18908 | 评论:0 | 标签:安全建设 Mysql 信息安全建设 数据库 审计 SQL 安全

MySQL 之类的数据库究竟是否适合运行在 Docker 类的容器环境中?

#数据库 2 个内容 #docker 1 个内容 #mysql 6 个内容 点击下方“IT牧场”,选择“设为星标”来源:toutiao.com/i6675622107390411276/容器的定义:容器是为了解决“在切换运行环境时,如何保证软件能够正常运行”这一问题。
发布时间:2021-09-21 21:54 | 阅读:27101 | 评论:0 | 标签:SQL 容器

从sql注入到任意文件上传

复现过程从回显可以明确的看到这是一个报错注入,如果没有回显报错的话,为了查看是否进行了sql语句的拼接可以去查看mysql的log日志,可以通过Navicat的日志功能去查看。在对CMS不是很熟悉的情况下可以通过搜索关键字来定位大概的漏洞位置,customurl成功的引起了我的注意,这是表的名字,经过简单判断,定位到函数位置为/Home/c/HomeController.php中342-355行中,用户传入参数url然后进入到find函数中处理。跟进到find函数中,位于/FrPHP/lib/Model.php,find函数主要去调用findAll函数去拼接执行sql语句。
发布时间:2021-09-21 11:11 | 阅读:36122 | 评论:0 | 标签:注入 SQL

深度技术研究之SQL注入总结

关注一波,谢谢各位师傅感谢ch1e师傅帮忙总结ch1e‘blog:https://ch1e.gitee.io/基本的sql语句查询:SELECT statement FROM table WHERE condition删除记录:DELETE FROM table
发布时间:2021-09-19 21:40 | 阅读:31929 | 评论:0 | 标签:注入 SQL

缓解SQL注入威胁的三种方法

即使是大型科技公司,依然会被软件和Web漏洞所困扰,其中SQL 注入是常见也是最危险的漏洞之一。在MITRE近日发布的过去两年中最常见和最危险的25个软件漏洞列表(见下图)中,SQL注入漏洞的排名高居第六:以下是降低SQL注入漏洞风险的三大方法:零信任方法首先确保客户端输入验证不是唯一的防线。这种验证是改善用户体验的好工具,但它不能作为一种安全机制。因为,通过更改浏览器中加载的JavaScript代码,或使用导致SQL注入的参数对客户端-服务器架构中的后端进行基本HTTP调用,可以轻松删除客户端验证。
发布时间:2021-09-16 15:19 | 阅读:20042 | 评论:0 | 标签:SQL注入漏洞 零信任 注入 SQL

写入mysql_通过MySQL写入webshell的几种方式

当我们通过测试发现SQL注入,或拿到像phpMyAdmin之类的web数据库可视化管理工具,并想要进行下一步渗透的时候,可通过数据库写入webshell到目标服务器上,利用webshell管理工具控制目标服务器。下面将讲述几个通过MySQL数据库写入webshell的方法,以拿到phpMyAdmin为例。
发布时间:2021-09-15 13:53 | 阅读:24282 | 评论:0 | 标签:Shell webshell 写入 SQL shell

神奇的 SQL 之别样的写法 → 行行比较

#sql ,1 #运维 ,7 #mysql ,5 点击下方“IT牧场”,选择“设为星标”来源:cnblogs.com/youzhibing/p/15101096.html环境准备需求背景循环查询OR 拼接混查过滤行行比较
发布时间:2021-09-13 21:49 | 阅读:34009 | 评论:0 | 标签:SQL

Web安全实战系列笔记 | SqlServer手工注入实战和分析(四)

#Web安全笔记实战系列 ,4 #Web安全实战系列指南 ,47 点击上方蓝字关注我们本系列实战笔记为红日安全核心人员学习渗透测试期间记录实战笔记,该笔记主
发布时间:2021-09-13 08:24 | 阅读:24283 | 评论:0 | 标签:注入 SQL 安全 分析

Web安全实战系列笔记 | MySQL突破过滤危险函数实战和分析(三)

点击上方蓝字关注我们本系列实战笔记为红日安全核心人员核心学习渗透测试期间记录实战笔记,该笔记主要记录自己学习Web安全和渗透测试一个时间
发布时间:2021-09-12 11:03 | 阅读:24469 | 评论:0 | 标签:SQL 安全 分析

MySQL提权总结(建议收藏)

前言数据库权限在平常的渗透提权中,我们通常可以在一些特殊情况下得到数据库的用户名和密码(最高权限root),如下:MySQL 3306 端口弱口令爆破sqlma
发布时间:2021-09-10 11:01 | 阅读:17365 | 评论:0 | 标签:提权 SQL

SQL注入基础知识点

#sql注入 ,1个 点击上方蓝字关注我们0x00 前言 SQL注入是现在最普遍的攻击之一,主要原因是程序猿在编写程序时没有对用户输入数据的合法性进行判断或过滤不严,导致攻击者可以在程序中事先定义好的查询语句的结尾上添加额外的SQL语句实现非法操作,以此来实现窃取或者篡改数据。0x01 简介 攻击者通过把自己恶意构造的sql语句当成查询数据的一部分提交给应用程序,达到欺骗服务器来执行自己恶意构造的sql命令,这会导致数据库的信息泄漏甚至会控制数据库。
发布时间:2021-09-10 11:00 | 阅读:22552 | 评论:0 | 标签:注入 SQL

HSQLDB反序列化

#序列化 ,1个 本文约2800字,阅读约需6分钟。在某次项目碰到HSQLDB,第一时间想到使用网络公开的POC,但是利用失败——失败原因是因为F5使用了"https"导致HSQLDB连接失败。这难道能难倒我吗?既然此路不通,那我就用本地复现抓取利用成功的包,进行"https"网站的复现。话不多说,直接开工。1hsqldb反序列化2020年07月08日,F5官方更新了“F5 BIG-IP”远程代码执行的风险通告,更新了“httpd”的补丁。
发布时间:2021-09-08 19:00 | 阅读:27988 | 评论:0 | 标签:SQL 序列化

公告

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

求赞助求支持·广告位💖

标签云