📄🦌🙌🐟🏖️
hzhsec
Just another Halo site
全部分类
SQL 注入中的请求类型与利用场景总结(PHP & MySQL)

SQL 注入中的请求类型与利用场景总结(PHP & MySQL)

概述 本篇笔记说明 PHP 与 MySQL 交互中常见的数据请求类型、导致注入成功/失败的原因、常见的请求来源(全局变量)及利用场景,并给出绕过与防护的建议。适用于黑盒测试时对不同请求格式的分析与构造。 一、为什么“看似有注入但无法成功”? 黑盒测试无法直接看到原始 SQL 语句,注入成功依赖于对原

Web安全 4 Administrator
SQL 注入实战笔记:枚举、跨库与文件读写(MySQL)

SQL 注入实战笔记:枚举、跨库与文件读写(MySQL)

一、目标与概述 目的:通过 SQL 注入(以 MySQL 为例)获取 Web 应用可操作的数据或权限(例如:查询数据库名称、表名、字段、读写文件、横向跨库取证等)。 本笔记覆盖: 常见检测与信息收集(系统、用户、数据库名、版本) 基于 information_schema 的枚举方法 跨库查询与文件

Web安全 4 Administrator
CSRF 漏洞原理、检测方法与防御实践

CSRF 漏洞原理、检测方法与防御实践

概览 CSRF(跨站请求伪造) 的检测、常见绕过手法与防御实践。 一、CSRF核心概念 CSRF:攻击者在受害者已登录的情况下,诱导其浏览器向目标站点发送已认证的请求,从而实现未授权操作。常见影响包括修改账户信息、发起转账、改变密码、发帖等。 攻击前提通常要求受害者已登录目标站点并保持有效会话;防护

Web安全 7 Administrator
CTF 文件上传漏洞总结:绕过思路与 Payload 构造(ctfshow)

CTF 文件上传漏洞总结:绕过思路与 Payload 构造(ctfshow)

概要 本文总结了我做ctfshow有关文件上传的漏洞题目,以及文件上传构造数据包的pyload ctf.show — web151 ~ web160 条目整理(要点摘录) 下面每一项对应你给的编号(web151…web160),按“题目要点 / 绕过手法 / 常见 payload”格式列出,方便快速

Web安全 50 Administrator
文件上传安全架构解析:存储、解析与权限控制方案

文件上传安全架构解析:存储、解析与权限控制方案

概览 本文对文件上传后的解析与存储方案做整理,聚焦三大主题: 文件解析与执行权限(如何避免上传文件被执行) 数据的编码→传输→解码还原流程(攻击面与防护点) 存储方案比较:分站存储 与 OSS(对象存储),含访问控制与常见绕过风险 一、文件 — 解析方案:

Web安全 5 Administrator