热门文章
-
22 ℃ 
Java编程小练习题目
1年前
-
18 ℃
-
17 ℃
全开源图床系统源码
1年前
-
17 ℃
PHP在线加密系统源码
1年前
-
16 ℃
用Java编写九九乘法口诀表
1年前
-
15 ℃
开发进度网站带后台源码
1年前
最新发布
-
搜索型和XX型注入 "Pikachu"通常是指一个安全漏洞学习平台,它模拟了各种Web应用中的安全漏洞,以便于学习者实践和了解这些漏洞的工作原理。在这个平台上,你可以找到不同类型的SQL注入漏洞来练习和学习如何利用与防御它们。 搜索型注入(也称为盲注或基于布尔的注入) 搜索型注入通常指的是攻击者通过观察页面返回的不同结果来判断SQL查询的真假,进而逐步构建完整的查询语句的一种技术。这种注入类型不依赖于错误消息或直接的数据反馈,而是根据服务器的行为变化来推断数据。 特点: 无直接输出: 不像报错型注入那样可以直接获取数据库错误信息,搜索型注入需要攻击者进行多次尝试来确定正确的查询条件。 布尔反馈: 通常会根据查询的结果是否为真来改变网页的显示行为,比如返回不同的内容或者跳转到不同的页面。 利用方法: 使用AND、OR等逻辑操作符来测试不同的条件。 逐个字符地猜解数据,例如使用ASCII码来逐位检索字符串。 XX型注入 这里提到的“XX型注入”可能是指“XSS(跨站脚本)注入”或者是某种特定的SQL注入类型。由于上下文信息不足,我们假设这里指的是SQL注入的一种变体。 如果是指SQL注入: 这里可能是指特定情境下的SQL注入,例如基于时间延迟的注入、基于错误的注入等。不过,通常情况下,“XX型注入”这样的表述不够明确,需要更具体的上下文信息才能给出准确解释。 如果是指XSS注入: XSS注入是一种让攻击者能在受害者的浏览器中执行恶意脚本的安全漏洞。 特点: 攻击者可以注入恶意脚本到Web页面中。 受害者在浏览该页面时会被执行恶意脚本。 类型: 存储型XSS: 恶意脚本被持久化存储在服务器上,并在每次用户访问相关页面时被加载执行。 反射型XSS: 恶意脚本是通过URL参数传入的,并在用户访问时被立即执行。 DOM-based XSS: 利用DOM操作的漏洞来修改页面内容并执行恶意脚本。 下面我们开始操作练习下: 搜索型注入: MySQL查询语句: select username,id,email from member where username like '%$name%'我们构造一个闭合查询语句: x' or 1=1#这样就知道这里是存在sql注入漏洞的 QQ截图20240731220259.png图片 XX型注入: MySQL查询语句: select id,email from member where username=('$name')我们继续构造一个sql注入语句 x') or 1=1#然后尝试运行一下 QQ截图20240731221400.png图片 也是存在sql注入漏洞。 接下来我们尝试获取当前的数据库用户名 x') union select database(),user()#QQ截图20240731221551.png图片 也是成功获取到当前的数据库用户名信息 接下来我们直接获取后台信息 x') union select username,password from users#QQ截图20240731223103.png图片
-
PHP在线加密系统源码 历时半年,它再一次迎来更新[飘过] 刚刚发的那个有点问题,重新修了一下 本次更新内容有点多 1. 更新加密算法(这应该是最后一次更新加密算法了,以后主要更新都在框架功能上面了) 2. 适配php56-php74 3. 取消批量加密(一些不可控因素,为了更好的处理文件和安全问题) 4. 重新优化api代码 4. 新增可以前台输入加密注释 6. 后台新增一键清空历史加密文件 7. 优化后台排版 8. 优化前台 9. 新增可自定义前台css 10. 修复一些安全性的问题,如果出现无法登录,请到data文件重置密码:{"username":"admin","password":"396be3fc3f8114e37fe5af0db9d95a8f"} 11. 支持自定义前台静态资源地址(现在主要的内容是layui,有点不完善) 还是那句话,这前台我还是很喜欢 还是那句话,每次的更新,都是新的bug的出现,如果出现bug,可以评论区留言哦,如果你有更好的建议也可以提出来(我不一定听[笑眼] 演示图: PHP在线加密系统源码下载: [hide]https://pan.baidu.com/s/1PT5SBfDlhrAdq_RYBrg6BQ 提取码:2k31[/hide]
-
-
全开源图床系统源码 一款专为个人需求设计的高效图床解决方案,集成了强大的图片压缩功能与优雅的前台后台管理界面。 项目结构精简高效,提供自定义图片压缩率与尺寸设置,有效降低存储与带宽成本。 支持上传JPEG、PNG、GIF格式图片并转换为WEBP格式,支持上传SVG、WEBP图片。 支持本地储存,OSS储存,S3存储。可通过把储存桶挂载到本地的方式解锁更多储存方式。 简洁美观的前端,支持点击、拖拽、粘贴、URL、批量上传。 瀑布流管理后台,便捷管理图片,支持图片灯箱、AJAX无加载刷新。 支持自定义压缩率,默认60,可自定义修改。支持修改每日上传限制,单次上传限制 运行环境 推荐PHP 8.1 + MySQL >= 5.7 本程序依赖PHP的 Fileinfo 、 Imagick 拓展,需要自行安装。依赖 pcntl 扩展(宝塔PHP默认已安装) 要求 pcntl_signal 和 pcntl_alarm 函数可用(需主动解除禁用)。 效果图:
-
【网站源码】虚拟发卡系统 运行环境: Nginx 1.22.1 + Mysql5.7 + PHP7.4 直接访问域名即可安装 [呵呵] 彩虹二次开发 拥有供货商系统 多余模板删除 保留一套商城,两套发卡 源码无后门隐患 已知存在的BUG修复 目前适用于卡密类型业务销售。 后续将会慢慢编写数卡权益类的对接,以及实物物流类产品。打造一款电商平台。后续也可能采用Java进行编写 演示图: 😀😀😀😀😀😀 蓝奏网盘下载地址:[hide]https://zhao2004.lanzouj.com/iIdUt25oz1zi[/hide] 😀😀😀😀😀😀 [hide]提取码和解压密码都为:fgsup[/hide] 😀😀😀😀😀😀 免责声明: 该源码程序仅应用于学习交流使用,违者后果自行承担
