联合查询注入——字符型注入1.查看界面  初始界面：   查询成功反馈:  查询失败反馈：   可以看见，这次是直接在框中进行输入内容，并且对输入内容均有反馈，在该类型的输入框中，我们可以直接在输入框中进行注入操作，当然， 你喜欢用bp也行，反正我是懒狗。   （当然，在真实的情况中，我们是不知道

联合查询注入——数字型注入1.查看界面   可以看见在界面中有下拉框，包含了1到6的数字，我们只能够选择数字，点击对应的数字回馈对应的用户信息，无法进行输入，所以我们需要将注意力放到报文当中 2.分析报文  点击数字1进行查询，得到如下报文：   在报文中显示中可以看见传送了id=1的内容，可以判断出该处为注入点。 3.进行注入

SQL注入——联合查询注入0.前言&emsp;&emsp;联合查询注入是可回显的注入，在联合查询中，一般会将数据库查询的数据返回到页面中。联合查询注入利用的前提是初始的页面上有显示位，在一个网页的正常界面中，服务端执行SQL语句查询数据库中的数据，客户端将数据展示在页面中，这个展示数据的位置就叫显示位。 1234567891011<?php...$id=$_GET[&#x27;id&#x27

数据安全技术前沿研究笔记（二）1.前言&emsp;&emsp;由于第二章没啥好总结的，大多都是一些合规下数据安全类的文字阐述，和第一章的中心思路基本不差，我们就直接开始第三章的“前沿技术赋能用户隐私数据安全合规”。在该文章中，企业的用户隐私数据安全合规场景主要是是三种典型也对应了三种前沿技术（差分隐私、知识图谱和流程自动化） &emsp;&emsp;（以下是第三章的部分摘抄） &emsp; 2.数

SQL注入——MySQL1.前言&emsp;&emsp;由于数据库的类型中，MySQL类型数据库是比较主流的，所以需要了解一些MySQL的相关知识。 &emsp;&emsp;(图片的蓝框部分打错了，懂意思就是，懒得改了) &emsp;&emsp;可以看到在MYSQL5.0以上版本中，存在着名为information_schema的库，在这个库中存储记录了所有数据库名，表名，列名。也就一般来说我们

SQL注入——类型及提交方法1.前言&emsp;&emsp;在现实的SQL注入安全测试中，我们首先要明确提交数据及提交方法后再进行相关的注入，其中提交数据类型和提交方法可以通过抓包分析获取，后续的安全测试中我们也必须满足同等的操作才能进行注入。 &emsp; 2.数据类型 数字型语句： 1select * from user where id 字符型语句： 1select * fr

SQL注入——基础知识1.SQL的简介&emsp;&emsp;SQL (结构化查询语言) 是用于管理关系数据库管理系统（RDBMS）。 SQL 的范围包括数据插入、查询、更新和删除，数据库模式创建和修改，以及数据访问控制。 &emsp;&emsp;虽然存在着不同版本的SQL语言，但是为了ANSI标准的兼容性，它们必须以相似的方式来支持一些主要的命令（SELECT、UPDATE、DELETE、INS

数据安全技术前沿研究笔记（一）1.前言&emsp;&emsp;最近在看绿盟出的《拥抱合规、超越合规：数据安全技术前沿研究报告》，书是本好书，接下来也会分享自己的阅读笔记，但是这个名字又臭又长是谁想出来的。对于后续的技术学习其实我心里也没什么底，毕竟差分计算，联邦学习有接触过，感觉挺难的，冲！ &emsp; 2.为什么要关注数据安全&emsp;&emsp;现在随着时代的发展，在大数据时代，数据的作用

web漏洞类型1、漏洞类型导图2、漏洞等级划分&emsp;&emsp;漏洞等级取决于漏洞的危害程度，所以越威胁的漏洞，等级越高 &emsp;&emsp;（感觉自己说的是个屁，不确定，再闻闻） &emsp;&emsp;高危漏洞： SQL注入 文件上传 代码执行 未授权访问 命令执行 &emsp;&emsp;中危漏洞： 反序列化 逻辑安全 &emsp;&emsp;低危漏洞： XXS攻击 目录遍历

实习相关内容梳理（二）&emsp;&emsp;今天依旧是梳理内容的一天捏。准备开始冲数据安全的技术层面啦٩(⊙o⊙*)و 其他:数据出境相关概念解析 第一部分：初阶–数据出境关键概念剖析 第二部分：进阶–《个人信息出境标准合同规定》高频问题与适用解读 第三部分：进阶–《数据出境安全评估办法》高频问题与适用解读 第四部分：高阶– 数据出海实践关键问题与海外SCC要点对比 根据的公众号：