渗透测试黑盒模式下SQL注入怎么找，除了用工具先扫一下，还有没... 已采纳

1、工具也很有讲究，目前建议使用被动式扫描，这种准确度，覆盖度都比较高。常用的做法，将流量代理到扫描器中（如xray、awvs）等，然后逐个点击各个功能，。但是对于新增的地方要慎重，容易造成垃圾数据。2、SQL注入的话，重点关注排序、筛选等地方，预编译无法使用的地方，往往有意外之喜

回答于 2022-10-09 15:18

【9月29日每日答题】恶意代码反跟踪技术描述正确的是

A．反跟踪技术可以减少被发现的可能性

回答于 2022-09-29 11:09

Crossdomain.xml泄露如何利用

1、信息收集：收集目标相关系统、域名等2、CSRF漏洞3、与flash漏洞配合使用

回答于 2022-09-27 17:05

面试中经常被问到不出网的情况，不知道不出网有哪几种形式，是指...

不出网一般是指机器是内网机器，且访问不了互联网

回答于 2022-09-27 15:03

【技术问答 - 24】栅栏密码的原理是什么

所谓栅栏密码，就是把要加密的明文分成N个一组，然后把每组的第1个字连起来，形成一段无规律的话。 不过栅栏密码本身有一个潜规则，就是组成栅栏的字母一般不会太多。

回答于 2022-09-27 15:00

【技术问答 - 23】sql注入在mysql和sqlserver中有什么区别

回答于 2022-09-27 14:59

【技术问答 - 22】JWT 相较于 SESSION 优劣势？

基于session和基于jwt的方式的主要区别就是用户的状态保存的位置，session是保存在服务端的，而jwt是保存在客户端的。jwt的优点：    可扩展性好 应用程序分布式部署的情况下，session需要做多机数据共享，通常可以存在数据库或者redis里面。而jwt不需要。    无状态 jwt不在服务端存储任何状态。RESTful API的原则之一是无...

回答于 2022-09-27 13:43

【9月26日每日答题】以下对 Windows系统的服务描述，正确的是

B．Windows服务的运行不需要用户的交互登陆

回答于 2022-09-26 09:36

【技术问答 - 21】CSP应该如何使用及配置，有哪些绕过CSP的方式

启用CSP策略：1、通过 HTTP 头信息的 Content-Security-Policy的字段2、通过网页的 <meta> 标签CSP绕过：1、url跳转2、<link>标签预加载3、利用浏览器补全4、代码重用5、iframe6、meta标签

回答于 2022-09-23 10:30

【技术问答 - 20】写代码时如何防止二次注入

从数据库取数据时，不能轻易相信查询出的数据，要做到同样的转义或是鉴别

回答于 2022-09-23 09:57