随着互联网应用的不断普及，安全问题也日益凸显。黑客利用各种漏洞攻击网站和应用，给用户和企业带来巨大的损失。特别是SQL注入（SQLi）和跨站脚本攻击（XSS），...

Deadface CTF是由Cyber Hacktics主办的年度黑客赛事，本届围绕虚构黑客组织DEADFACE展开叙事。参赛者需协助灰帽组织Turbo Tac...

提交方式：GET POST COOKIE 参数注入：数字型/字符型/搜索型 数据库类型：ACCESS/Mysql/MSSQL/Oracle 手工注入方法...

攻击者利用Web应用程序对用户输入验证上的疏忽，在输入的数据中包含对某些数据库系 统有特殊意义的符号或命令，让攻击者有机会直接对后台数据库系统下达指令，进而实现...

没关系，这个文件是更新用户信息用的，执行的语句类似update table set a='111',b='222' where uid=1，我们引入一个\在11...

很多更成熟的数据库都支持预处理语句的概念。什么是预处理语句？可以把它看作是想要运行的 SQL 的一种编译过的模板，它可以使用变量参数进行定制。预处理语句可以带来...

Domain Name System 域名管理系统 域名是由圆点分开一串单词或缩写组成的，每一个域名都对应一个惟一的IP地址，这一命名的方法或这样管理域名的系统...

当网站使用不安全的SQL查询方式时，黑客可以通过注入恶意SQL语句来获取网站的敏感信息或者控制网站的数据库。为了防止SQL注入攻击，以下是一些防御措施：

寻找sql注入漏洞，首先看看原本的sql语句是通过什么方法执行的，可以搜索关键字sql,dbHelper等关键字，发现这套程序里有三种执行sql语句的方法：

以Sqli-labs Less8为例，无论输入什么就只有正确和错误，于是可以判断基于布尔的盲注。

1、先下载python2.7.9版本（支持Python 2.7或Python 3版本）

第二个参数要求是xpath格式的字符串，语法正确是会按照路径 /该xml文件/要查询的字符串 进行查询

本文对edusrc挖掘的部分漏洞进行整理，将案例脱敏后输出成文章，不包含0DAY/BYPASS的案例过程，仅对挖掘思路和方法进行相关讲解。

在这种情况下，我们只关注VPN组件（Citrix Gateway）。根据最新的数据，大约有约50,000个Citrix Gateway实例是公开可访问的。因此，...

由于传播、利用本公众号亿人安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号亿人安全及作者不为此承担任何责任，一旦造成后果请自行承...