我正在考虑将文件包含到脚本中,这些文件的名称基于cookieinclude("sometext".$mycoockie_here."some_text.php");
上面的代码容易受到这样的攻击吗?-即使是硬编码的"sometext"和"sometex.php"?
浏览 0提问于2012-04-26得票数 0
回答已采纳
让我们假设有这样的代码可以从用户输入中包含其他php文件(是的,我知道这是个错误的选择):此代码将斜杠添加到单引号和双引号中,然后检查字符串中的../,如果没有找到,则包括该文件。
假设黑客已经编写了一些代码以包含到其他文件夹,并且黑客需要使用?input=..
浏览 0提问于2018-11-04得票数 6
2回答
文件包含公开密码
、、
我对LFI感到困惑,在这里,我看到了很多坏掉的web应用演示程序演示了LFI,它们在其中遍历一个类似于/etc/passwd的目录。这些密码是如何准确存储的?我不明白为什么会有一个密码目录。非常新鲜的道德黑客和笔试,并将感谢对此的任何见解。
浏览 0提问于2022-03-14得票数 2
回答已采纳
1回答
我正在构建一个sql语句,就像下面rails应用程序中的sql语句一样:上面的sql语句是否易受注入攻击,输入'bank_ids‘由最终<e
浏览 15提问于2020-02-10得票数 1
回答已采纳
1回答
有一个站点的主页采用http://example.com/index.php?page=1格式。它包含一个带有文本的矩形框。我可以使用哪些漏洞来查找此站点上的隐藏文件?它产生相同的矩形帧,但没有文本。我也试着把一个非常大的数字和UTF-8字符太,结果是一样的。我得到的是同样的画面。
2)检查了页面的源代码。没有结果。
浏览 0提问于2018-09-12得票数 -4
回答已采纳
我有一个包含许多文本框的表单。所有文本框都是必填字段。因为这些都是文本框,所以除了长度之外,我不能使用特定的验证。但我不想让用户插入易受xss攻击的标签。我知道在ColdFusion中我可以使用htmlEditFormat(),encodeForHTML()来显示用户数据以防止XSS,但我只是想阻止它们插入到数据库中。因为我在CF10中<
浏览 0提问于2014-09-26得票数 1
1回答
对于XSS攻击的vue.js漏洞,我有点困惑。我的情况如下:现在的问题是:我是否易受XSS攻击?我尝试了几种解决方案:
清理
浏览 28提问于2022-08-10得票数 2
1回答
GraphQL动态查询SQL注入
、、、、
关于GraphQL及其易受SQL注入攻击的问题。假设我执行了一些动态搜索,用户在字段中输入文本,我将其用作graphQL搜索的参数。所以,我最终得到了这样的结果: data { }其中user_input是用户指定的变量。现在,假设一个用户试图在这里输入一些恶意代码,以擦除数
浏览 3提问于2020-11-01得票数 0
4回答
我有这样的代码,它读取用户的输入: size_t stringlen = 0;stringlen++; } return stringlen;char * buff的大小已经设置为len,并已被memset设置为包含“0”。此代码易
浏览 5提问于2017-04-06得票数 0
回答已采纳
我正在使用HP工具来检测我的项目的漏洞,它提供了一些易受DOS攻击的代码。expression through some '.properties' and then trying to create a pattern by Pattern.compile(regex);
如果我硬编码java文件本身中的正则表达式,那么它将不再是动态
浏览 4提问于2018-05-23得票数 2
3回答
JSON API的XSS漏洞
、、、、
我有一个接受和返回JSON数据的REST API。"error": "Error Message", "test-repo<script>alert(1)</script>"}
我的API是否易受XSS攻击?据我所知,由于Content-Type被设置为application/json,因此API对于XSS是安全的<
浏览 3提问于2021-01-28得票数 1
在我们的代码库中,我们使用Hibernate,并使用它的Restrictions.sql()方法,使用MS的全文搜索。sqlRestriction使用包含(column_name,search_text)谓词构建,其中search_text是用户输入的文本。Restrictions.sqlRestriction(包含(“+ column_name + ",?),”\“+ userInput +”*\“,St
浏览 4提问于2021-10-17得票数 0
1回答
我正在开发一个web应用程序,它在搜索框中容易受到SQL注入的影响。它使用ASP.Net (C#)和。在搜索框中,它的查询如下:如您所见,上面的代码完全易受SQLi攻击。因此,如果用户在文本框中输入类似' order
浏览 0提问于2016-07-06得票数 2
回答已采纳
2回答
通过尝试THM上的XSS房间,我尝试使用以下cmd读取/etc/passwd:然而,我得到的是一个错误代码,如下所示但我能够使用以下方法从css/style.css中读取:📷
谁能给我解释一下原因吗?
浏览 0提问于2021-07-28得票数 0
回答已采纳
2回答
假设您使用以下SQL查询创建一个名为notes的表并在其中存储数据: CREATE TABLE notes (username TEXT,
tokenINSERT INTO notes (username, token, text) VALUES ('bob', 'token-b', 'TODO: write tests'); 现在,在不知道alice的令牌的情况下,尝试SQL注入来获取alice的所有笔记,其中获
浏览 27提问于2020-08-28得票数 0
1回答
我使用AJAX将表单发布到process.php,该表单将验证和清理已发布的数据,如果成功,将通过AJAX响应回显字符串“成功”。在将字符串"success"输出给用户之前,是否必须对其进行消毒和转义?知道字符串“成功”不是用户输入,而是我为起诉成功进程而编写的字符串。我是否必须净化和逃避任何AJAX响应数据,即使它是由我创建的?这是因为在其他页面中,我直接从处理php页面中回显了许多HTML元素,因此我可以在AJAX响应中
浏览 0提问于2016-06-28得票数 1
回答已采纳
我知道,当用户提交的数据处于搜索状态时,参数化查询是必不可少的,但我的问题是,这是否适用于user-TAMPERABLE数据?乔
浏览 0提问于2012-08-09得票数 1
回答已采纳
目前,我有一个运行express的节点服务器和一个postgresql数据库。我知道postgresql支持UTF-8编码。我的前端是Angular的,我相信Angular会处理任何不安全的注入。我是否可以从Angular获取UTF-8字符,并通过我的node/express服务器运行它并进入我的postgresql数据库,而不会出现任何安全问题?node/express服务器是否易受注入攻击?
浏览 0提问于2017-07-23得票数 0
我有一些JavaScript,它从PHP脚本中获取一些HTML,并将其插入DOM中: id:encodeURIComponent(id)}).done(function(Data){});
如果我想将blocks.php代码插入到DOM中,那么防止XSS的最佳方法是什么?它<e
浏览 0提问于2018-04-12得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
云直播活动推荐
腾讯云开发者
