Sql注入SQL注入原理a.SQL(结构化语句查询)b.提交参数(调用数据库查询)的地方是用户可控的,并未做任何过滤处理c.数字型,字符型,搜索型,POST注入,Cookie注入,延时注入,盲注等SQL注入防护1、使用安全的API2、对输入的特殊字符进行Escape转义处理3、使用白名单来规范化输入验证方法4、对客户端输入进行控制,不允许输入SQL注入相关的特殊字符5、服务器端在提交…
网站渗透思路流程信息收集服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等)网站指纹识别(包括,cms,cdn,证书等),dns记录whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等)子域名收集,旁站,C段等googlehacking针对化搜索,pdf文件,中间件版本,弱口令扫描等扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄…
