一个厂商网站的SQL安全检测 (啊D、明小子)
鄙人今年20,七年前也就是我初一的时候钻研过一段时间的攻防技术,但是由于年纪尚小不懂代码而且以学业为重放弃了继续钻研。
前几天学校一学弟开群拉有兴趣的同学进入,我又想到了过去学到的那些东西,突然又有了感觉,不能放弃啊,毕竟是当时深爱的东西。
======================================================================================================
昨晚在看教程,拿来了教程里的网页想试试有没有安全问题。页面如下:
发现域名还是存在的,只是换了厂家。
自己比较小白,不懂SQL高端的代码之类的,直接拿来工具啊D,塞进去地址检测。(常见的可以尝试的地址有产品展示之类的图片比较多的地方)
果不其然,出现了两个可注入点。
随便选第一个吧,注入检测成功。
依次再检测表段,字段,内容,十几秒管理员用户名就出来了。
详细看一下用户名也不是常用的admin之类的,只能说纯字母确实不好。不是非常严重的是,没有pwd一项被猜解出来。
后台尝试经常用的地址,manage直接成功。
尝试使用密码admin,admin88,123456等弱口令登陆都失败了。(= =后面才知道自己多白痴)
使用明小子暴力猜解。。结果和用户名一样。。。T_T
然后成功登陆后台。
此漏洞已于昨晚凌晨上报乌云。
关于SQL的更多参考:
http://blog.csdn.net/csh624366188/article/details/8105217
http://netsecurity.51cto.com/art/200808/87178.htm
http://blog.sina.com.cn/s/blog_640b84590100jamq.html
===============================================================================
本文仅供学习研究之用,读者利用所产生的后果概不负责。
一个厂商网站的SQL安全检测 (啊D、明小子)相关推荐
- 使用Python打造基本WEB漏洞扫描器(一) 网站爬虫+SQL注入检测
一.实验介绍 扫描器需要实现功能的思维导图: 1.1 实验内容 编写一个简单的多线程爬虫,用于对网站地址进行爬取,编写一个简单的sql注入工具,用于对网站地址进行sql注入的检测. 1.2 实验知识点 ...
- 使用Yearning部署一个工单化SQL语句检测平台
* GreatSQL社区原创内容未经授权不得随意使用,转载请联系小编并注明来源. 1. 引入 2. 环境准备 2.1 通过yum安装Docker 2.2 安装数据源 2.3 安装部署Yearning ...
- 利用sqlmap对网站进行sql注入检测
1.下载sqlmap github地址:https://github.com/sqlmapproject/sqlmap/zipball/master 2.sqlmap的运行环境需要python,这个网 ...
- 对搜狐 网易和TOM三大门户网站的SQL注入漏洞检测
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章.分享知识,造福人民,实现我们中华民族伟大复兴! 对搜狐. ...
- 几十行python代码构建一个前后端分离的目标检测演示网站,代码开源
在深度学习更讲究实用和落地的今天,构建一个简单的,可以利用浏览器和后端交互的演示性 Demo 可以说非常重要且实用了.本文我们将简单的介绍如何用几十行核心代码构建一个好用的.前后端分离的Demo. 2 ...
- 推荐一个学习SQL的网站-自学SQL网
自学SQL网 自学SQL网 一个适合小白学SQL的网站,由浅入深的介绍所有有关 SQL 的知识, 每一个章节是一组相关的SQL知识点: 并且会配备一组动手练习任务. 这个网站特别适合学完某种知识就想马 ...
- 如何防止网站被SQL注入攻击之java网站安全部署
SQL注入攻击(SQL injection)是目前网站安全以及服务器安全层面上是最具有攻击性,危害性较高,被黑客利用最多的一个漏洞,基本上针对于网站代码,包括JAVA JSP PHP ASP apac ...
- Halo 博客网站的SQL
Halo 博客网站的SQL 上一次网站被攻击,导致数据库被删,想用binglog恢复,需要存在表结构,于是我备份一下SQL -- MySQL版本: 5.7.34 -- 数据库: `halodb` -- ...
- iis网站服务器+sql server数据库服务器安全
iis网站服务器+sql server数据库服务器安全 一 程序部分注意事项 1 友好的错误提示页,不出错误黄页,会暴露信息 2 输入参数检测,get,post,cookie验证,防注入 3 页面层不 ...
- 基于Python(Django)+MySQL 实现(Web)SQL智能检测系统的设计与实现【100010694】
摘 要 为了满足不同的用户群体的需求,中国移动的套餐业务更新频繁,每个月都会推出很多个性化的套餐服务,当前,中国移动创建套餐的方式是手动编辑上百行 SQL 语句之后插入到数据库中,一旦 SQL 语句中 ...
最新文章
- Composer scripts脚本:事件列表与脚本触发
- 国际会议排名zz(通信、网络类)
- 使用Matlab画心形线
- php图文消息带代码详细注释,微信发送图文消息代码整理
- 关于服务器中毒的预防与治疗
- 成千上万的在线课程时,如何保持理智和学习编码
- XShell安装lrzsz实现文件上传到Linux服务器
- 计算机考试67,计算机等级考试(国家)-二级c机试模拟67.doc
- Java 代码优化工具-lombok
- Matlab图像处理应用举例2
- 内存Available 是怎么计算的
- linux鼠标手势软件,在Deepin Linux系统使用Easystroke鼠标手势会更方便工作
- win10找不到wifi网络_笔记本电脑搜索不到自己家wifi怎么回事?无线网络信号的解决方法...
- 天然气阶梯是按年还是按月_燃气阶梯是一年一清吗 燃气阶梯的定义
- HTML网页入门练习——导航栏布局设计
- Flask框架初学-03-模板
- java计算机毕业设计BS模式快递运输平台2021源码+mysql数据库+系统+lw文档+部署
- PXE+Kickstart 无人值守安装系统
- 京东上什么卖得最好?
- android 语音唤醒,录音并识别