SQL注入攻击SQLi为啥屡禁不绝? 从漫画讲解如何防止sql注入攻击 (toutiao.secjia.com)

【简介】

这种跟DDoS攻击几乎一样古老的攻击形式,至今仍旧是Web应用安全前10的威胁。本文浅显的讲解了SQL注入是如何完成的?用一个sql注入攻击实例,讲解如何防SQL注入。

点击查看原文 >>

@gnaw0725 2018-03-13 15:02 / 0个评论
赞过的人: @技术头条 @gnaw0725
要不要再学学下面的文章?
JA 指纹识别全系讲解 (paper.seebug.org)
近期在学习 Burp Suite 的反制时发现 Wfox 前辈写的反制爬虫之 Burp Suite RCE一文,文末处介绍了使用 JA3 指纹识别 Burp Suite 流量的方法,简单研究后发现实战中易用性较强,故借此机会完整介绍一下 JA 指纹的全系列,并拓展到实践中。
by @技术头条 2024-03-21 22:56 查看详情
防止数据泄露的高效策略-翻译整理 (ixyzero.com)
简单来说,就是数据安全左移,在每一个阶段都做卡点和检测,提高入侵/获取敏感数据的成本,减少后续阶段的日志告警量,提高告警检测准确率,利用自动化工具/平台提高响应的速度和效率。
未授权不可访问;有账号凭证要检测是否正常(常用设备、常用网络、常见时间、常见操作行为、……);有账号也仅知其所需最小权限;梳理出的高权限账号的敏感操作进行重点关注。
数据尽量不落地,大部分操作在线即可完成,系统埋点要全面和准确;对于数据下载和外发格外关注,下载设备的DLP的健康状态和策略的有效性需要及时检查。
by @技术头条 2024-03-12 22:56 查看详情
QUIC协议解析与DDoS攻击分析 (blog.nsfocus.net)
QUIC(Quick UDP Internet Connections)协议是一种基于UDP的新型可靠传输协议,目前主要用于HTTP/3.0。近年来,现网中逐步发现了一些基于QUIC协议的DDoS攻击痕迹,并且友商也已经开始了关于QUIC协议的DDoS攻防相关研究。因此,ADS团队针对该协议进行了一系列的分析和实验,为相关的DDoS攻击防御技术研究打下基础。
by @技术头条 2024-01-13 23:43 查看详情
SQL优化(3)-索引与优化原理(上) (example.com)
这一篇我们回归现实中的MySQL数据库,初步学习具体的SQL优化原则,并尝试从索引底层原理出发,分析为什么会有那么多的“规则”。
by @技术头条 2024-01-13 23:28 查看详情
SQL优化(2)-索引与B+树 (example.com)
对于60%的程序员而言,Java的三层架构Controller、Service、Dao可以说是“越往后走天越黑”,特别是到了Dao层,提着灯笼也只能看到脚边一米开外的河边小石子,只闻对岸风啸马嘶却不知到底是人是鬼,只能借着MyBatis或JPA这些ORM框架隔着宽宽的河举行一场又一场的刺刀战,你砍我一刀,我刺你一剑。

诚然,很多人对MySQL数据库的印象就是一个模糊的大铁柜,闭上眼睛深吸一口气仿佛还能嗅到一股铁锈味。只知柜子里藏着很多张表,表里面存着很多行数据,再详细一点的呢?不知道。

MySQL有太多太多细节,根本无法用四、五篇文章说透,但我仍希望这个系列的文章能成为非常好的入门教程,让从来没接触过SQL优化的同学也能快速建立较为系统的知识框架,方便日后学习其他专栏时进一步拓展。
by @技术头条 2024-01-13 23:28 查看详情
浅析跨站请求伪造(CSRF)攻击 (www.addesp.com)
狭义的CSRF攻击就是指让Client在被Server认证的情况下去访问精心设计的恶意链接完成攻击。广义的CSRF攻击,可以是通过一些手段猜测出请求参数以及用户认证信息(如果需要认证的话),这样Server就会将其识别为合理请求。
by @技术头条 2023-11-06 23:26 查看详情
一起针对中国某摄像头企业的超复杂恶意软件攻击分析 (paper.seebug.org)
本文披露了近期针对我国某摄像头公司的一起网络攻击活动,并对相关的攻击武器PureCrypter和PureLogs及其采用的技术和对抗手法进行了全面和深入的分析,包括基于所有类型、字段、属性、方法等的名称混淆、基于“spaghetti code”的控制流混淆、自定义的动态代理调用(隐藏类及方法)、基于“Protobuf”的数据结构封装等多种对抗技术的交叉运用,此外还分析了攻击中采用的多模块多阶段的套娃模式,包括10个具有层级关系的Loader及DLL模块等。同时我们还对追踪过程中发现的“黑雀”攻击现象进行了披露和分析,这些高效的黑吃黑手段给黑客产业链带来了更多的复杂性,也让网络秩序变得越发不安全。
by @技术头条 2023-10-30 23:42 查看详情
Hive SQL中的like和rlike (ixyzero.com)
以前知道SQL中的 like 和 rlike 是有区别的,差别主要在于前者只支持 百分号(%)——匹配任意数量的任意字符,和下划线(_)——匹配一个任意字符 作为特殊字符,后者支持正则匹配——功能更强大,但速度一般也较慢。所以我一般是简单的、希望速度快些的情况下用like做模糊匹配,其它场景用rlike实现。但是近期在分析日志的时候发现Hive SQL中的 like 和 rlike 除了在功能上有区别之外,过滤生成的结果也有差异,比较奇怪,在此记录一下,方便后面参考。
by @技术头条 2023-10-24 23:50 查看详情
使用 SQL 的方式查询消息队列数据以及踩坑指南 (crossoverjie.top)
为了让业务团队可以更好的跟踪自己消息的生产和消费状态,需要一个类似于表格视图的消息列表,用户可以直观的看到发送的消息;同时点击详情后也能查到消息的整个轨迹。
by @技术头条 2023-09-10 23:23 查看详情
mqtt 攻击面和挖掘思路浅析 (paper.seebug.org)
在很多IOT设备中默认存在MQTT服务,这是一个值得关注的攻击面。本文对MQTT协议及其挖掘思路进行分析。
by @技术头条 2023-02-12 14:15 查看详情