在SQL注入中使用DNS获取数据

Knight / 2015-03-20

原文地址: http://arxiv.org/ftp/arxiv/papers/1303/1303.3047.pdf

原文作者: Miroslav Štampar

本文描述了一种利用DNS解析过程获取恶意SQL查询结果的先进的SQL注入技术。带有sql查询结果的DNS请求最终被攻击者控制的远程域名服务器拦截并提取出宝贵的数据。

False SQL Injection and Advanced Blind SQL Injection

Knight / 2014-12-15

原文地址:http://www.exploit-db.com/papers/18263/

这篇文章是为介绍一种新的绕过web防火墙或安全解决方案的SQL注入的方法而编写的。我(原文作者,下同)在一些韩国的防火墙上做了测试,大部分都能成功,我不会为减少影响而透露所测试的web防火墙的制造商。

Knight

刚刚上洗手间,看到一个玉树临风的少年,气质那叫一个非凡,眼神那叫一个深邃,简直就是人海中惊鸿一瞥,于是我洗了洗手,转身离开了镜子

twitter weibo github wechat

随机分类

Windows安全 文章:88 篇
其他 文章:95 篇
二进制安全 文章:77 篇
CTF 文章:62 篇
IoT安全 文章:29 篇

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮