一个月前我的个站被攻击了,然后今天收到了一份来自360的漏洞检测报告,我的天360还干这种事?

sql注入

漏洞链接1:

http: //xxx.com:80/index.php?alias=message&action=comment?comment-diary-id=1&comment-ip=182.118.33.8&comment-author=88888&comment-email=hacker@hacker.org&comment-url=http: //www.hacker.org/&comment-text=88888&comment-submit=SEND&comment-parent=0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END))

漏洞链接2:

http: //xxx.com:80/index.php?alias=message' AND SLEEP(5)%20%23

漏洞链接3:

http: //xxx.com:80/index.php?cat=note' AND 'dSob'='dSob

xss

漏洞链接:

http: //xxx.com:80/admin/login.php?req_url=/admin/index.php">

我在写入数据库时有使用addslashes为什么还会被注入?链接1和链接2要合在一起才会被注入吗?

对于第二个漏洞,我不太清楚应该怎么防御。

对站点安全研究不深入,请教大家给分析一下这是怎么实现的,以及如何修复漏洞,谢谢。

如果需要写入数据库的代码我再贴上。

PS,写链接会被sf自动缩短,所以在http:后面都加了个空格。

debug过了,的确是可以注入...对sql还是不够了解

最终写入数据库的语句是:

insert into comment values(NULL,1,1497261734,'88888',0,'hacker@hacker.org','http://www.hacker.org/','182.118.33.8','88888',0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END)) AND SLEEP(5)%20%23);

想请教一下最后一句是什么意思

0 RLIKE (SELECT (CASE WHEN (4725=4725) THEN 0 ELSE 0x28 END)) AND SLEEP(5)%20%23

php xss 实例,php - 关于sql注入和xss的具体实例分析相关推荐

  1. 常见的Web攻击方式:SQL注入、XSS跨站脚本攻击、CSRF跨站点请求伪造

    常见的Web攻击有SQL注入.XSS跨站脚本攻击.跨站点请求伪造共三类,下面分别简单介绍. 1 SQL注入 1.1 原理 SQL注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字 ...

  2. WAF——针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等...

    核心概念 WAF Web应用防火墙(Web Application Firewall),简称WAF. Web攻击 针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入.XSS跨站.Websh ...

  3. 第三百九十二节,Django+Xadmin打造上线标准的在线教育平台—sql注入攻击,xss攻击,csrf攻击...

    第三百九十二节,Django+Xadmin打造上线标准的在线教育平台-sql注入攻击,xss攻击,csrf攻击 sql注入攻击 也就是黑客通过表单提交的地方,在表单里输入了sql语句,就是通过SQL语 ...

  4. php登录框注入,分享一个php的防火墙,拦截SQL注入和xss

    这个是一个一个基于php的防火墙程序,拦截sql注入和xss攻击,无需服务器支持 安装 composer require xielei/waf 使用说明 $waf = new \Xielei\Waf\ ...

  5. [网络安全提高篇] 一〇四.网络渗透靶场Oracle+phpStudy本地搭建万字详解(SQL注入、XSS攻击、文件上传漏洞)

    当您阅读到该篇文章时,作者已经将"网络安全自学篇"设置成了收费专栏,首先说声抱歉.感谢这一年来大家的阅读和陪伴,这100篇安全文章记录了自己从菜鸡到菜鸟的成长史,该部分知识也花了很 ...

  6. 防止SQL注入和XSS攻击Filter

    nbsp;今天系统使用IBM的安全漏洞扫描工具扫描出一堆漏洞,下面的filter主要是解决防止SQL注入和XSS攻击 一个是Filter负责将请求的request包装一下. 一个是request包装器 ...

  7. 企业级解决SQL注入、XSS攻击解决案例

    SQL注入和XSS攻击实际上的原理都是通过拼接从而完成攻击,通过简单的黑名单或编码在有些时候并不能完全防御以上两种问题.本文中使用OWASP的owasp-java-html-sanitizer组件,通 ...

  8. Nginx 防止SQL注入、XSS攻击的实践配置方法

    下班的时候,发现博客访问缓慢,甚至出现504错误,通过 top -i 命令查看服务器负载发现负载数值飙升到3.2之多了,并且持续时间越来越频繁直至持续升高的趋势,还以为是被攻击了,对来访IP进行了阈值 ...

  9. OWASP TOP 10(2021)之注入漏洞(SQL注入和XSS注入)

    目录 一.SQL注入 1. 漏洞概述及原理 2. 漏洞可能造成的危害 3. 漏洞防范 4. SQL注入的分类与检测 5. 从攻击者的角度,如何绕过SQL注入防范呢? (1)对于关键字的绕过 (2)缓冲 ...

最新文章

  1. 树莓派siri homekit_利用树莓派Zero自制一款Homekit摄像头,看上去挺酷,手痒了吗?...
  2. Java项目:清新论坛系统(java+SSM+mysql+maven+tomcat)
  3. Linux系统使用apt命令安装java
  4. python turtle循环图案-Python内置模块turtle绘图详解
  5. Socket 阻塞模式和非阻塞模式
  6. 814:The Letter Carrier's Rounds
  7. 一次thinkphp框架 success跳转卡顿问题的解决
  8. request对象与response对象
  9. 【操作系统】多道程序的理解
  10. 通过多组的HSRP实现网络的冗余和负载
  11. 论文阅读笔记(八)——Ultra-thin MobileNet
  12. GERM格沵有哪些适合夏天的高颜值杯子推荐吗?
  13. 解决 “error while loading shared libraries: libpng12.so.0: cannotopen shared object file: No such fil
  14. 阿里云轻量应用服务器从购买到配置环境以及部署javaweb项目过程
  15. Oracle 系列 统计信息详解(Statistic)
  16. 网课脚本教程 【基础】(2) 脚本制作规范
  17. 互联网金融学习总结(7)——2019年线下大额现金贷产品设计和风控手段
  18. python counter转换为列表_Python标准库---collections.counter
  19. GHOST WIN8 32位软件自选安装专业优化版 201307 V4.0
  20. 叠加等边三角形的绘制 python_叠_叠是什么意思_叠字怎么读_叠的含义_叠字组词-新东方在线字典...

热门文章

  1. sails mysql_sails项目创建与常用基础操作总结
  2. java下传图片到tomcat服务器后,如何在页面显示,java图片上传服务器及客户端显示图片...
  3. IDEA本地运行Spark项目[演示自定义分区器]并查看HDFS结果文件
  4. 数据结构学习笔记:利用栈实现进制转换
  5. Python学习笔记:爬取网页图片
  6. 无心剑中译奥修《性、爱与慈悲》
  7. 【BZOJ3879】SvT,后缀数组+单调栈维护sum
  8. windows app html5,使用 HTML5 來偵測位置 (HTML)
  9. ae插件form_AE插件 | 没有这些插件,还想做特效?
  10. 2017.10.28 排序 思考记录