爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

还原漏洞调用链：CVE-2025-24813 Tomcat 反序列化漏洞源码深度解析（下篇）

# CVE-2025-24813 Tomcat反序列化漏洞深度解析与教学文档 ## 漏洞概述 **漏洞编号**: CVE-2025-24813 **影响版本**: - Apache Tomcat 11.0.0-M1 至 11.0.2 - Apache Tomcat 10.1.0-M1 至 10.1.34 - Apache Tomcat 9.0.0-M1 至 9.0.98 **漏洞类型**: 反序列化漏洞 **危害等级**: 高危（可导致远程代码执行） ## 漏洞原理该漏洞的核

2025-08-30 03:45:10

fortiweb-未授权RCE(CVE-2025-25257)

该文档没有简介

2025-08-30 03:44:27

fortiweb-未授权RCE(CVE-2025-25257)

# FortiWeb 未授权RCE漏洞分析 (CVE-2025-25257) ## 漏洞概述 FortiWeb Fabric Connector 是 Fortinet 公司开发的用于连接 FortiWeb (Web应用防火墙)与其他 Fortinet 生态系统组件的中间件。该组件存在预授权SQL注入漏洞，攻击者可通过在 `Authorization: Bearer` 头中注入恶意SQL语句，最终实现远程代码执行(RCE)。 ## 影响版本 - 7.6.0 <= FortiWeb <= 7

2025-08-30 03:44:27

记一次某985名校的javaMelody未授权漏洞

该文档没有简介

2025-08-30 03:43:56

记一次某985名校的javaMelody未授权漏洞

# JavaMelody未授权访问漏洞分析与利用 ## 1. 漏洞概述 JavaMelody是一款用于监控Java或Java EE应用程序的开源工具，但当其监控端点未做适当访问控制时，会导致严重的信息泄露漏洞。本文详细记录了在某985高校系统中发现的JavaMelody未授权访问漏洞的发现和利用过程。 ## 2. 漏洞发现过程 ### 2.1 初始目标分析目标系统特征： - 采用统一身份认证系统 - 默认会跳转到认证页面 - 前端JS未泄露有用路由信息 ### 2.2 目录爆破与信

2025-08-30 03:43:56

Arthas在内存马查杀中的应用

该文档没有简介

2025-08-30 03:43:30

Arthas在内存马查杀中的应用

# Arthas在内存马查杀中的应用 ## 引言内存马（Memory Shell）是一种驻留在内存中的恶意后门程序，由于其不落地磁盘的特性，传统安全防护手段难以检测。本文详细介绍如何使用Arthas工具来检测和清除各种类型的内存马。 ## Arthas简介 Arthas是阿里巴巴开源的一款Java诊断工具，具有以下特点： - 实时诊断运行中的Java应用 - 无需修改代码或重启服务 - 支持查看和操作JVM内部状态 - 提供丰富的命令集进行问题诊断 ## 基础使用 ### 注意事项

2025-08-30 03:43:30

src/众测中的一些越权方式

该文档没有简介

2025-08-30 03:42:37

src/众测中的一些越权方式

# 众测中的常见越权方式详解 ## 1. 参数可遍历越权 **原理**：当接口参数为数字类型时，通过遍历参数值可能获取到其他用户的数据。 **常见场景**： - 用户ID、订单ID等数字型参数 - 分页参数、序号等可预测的参数 **测试方法**： - 修改数字参数为相邻值（如自己的ID是123，尝试124、125等） - 使用Burp Suite的Intruder模块进行批量测试 **案例**：xx科学院大学某接口存在数字ID遍历越权 **防御措施**： - 实施严格的权限验证 -

2025-08-30 03:42:37

一次攻防演练从未授权访问到getshell过程

该文档没有简介

2025-08-30 03:41:53

一次攻防演练从未授权访问到getshell过程

# 微厦在线学习考试系统渗透测试分析报告 ## 1. 系统概述微厦在线学习考试系统是一个基于.NET开发的在线学习平台，项目地址为：https://github.com/weishakeji/LearningSystem。该系统存在多个安全漏洞，包括前台任意用户登录、未授权访问、任意用户伪造和任意文件上传等严重漏洞。 ## 2. 信息搜集阶段 ### 2.1 系统识别通过目标主页信息搜集发现授权文件，确认系统为《微厦在线学习考试系统》。CNVD查询显示该系统存在多个历史漏洞，但由于系

2025-08-30 03:41:53

工具链漏洞预警：全球活跃利用中的SharePoint新型零日RCE攻击链

该文档没有简介

2025-08-30 03:41:12

跳转到页