爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

JWT 常见测试点

# JWT 安全测试全面指南 ## 一、JWT 基础与工作流程 ### 1.1 JWT 基本结构 JWT（JSON Web Token）由三部分组成，以点号分隔： - **Header**：包含令牌类型和签名算法 - **Payload**：包含声明（用户信息、权限等） - **Signature**：对前两部分的签名，用于验证完整性 ### 1.2 JWT 工作流程 1. **用户认证**：客户端提交账号密码到认证服务器（HTTPS） 2. **令牌生成**：服务器验证通过后，使用密钥生

2025-11-21 12:10:37

【万字】一文读懂Android APP抓包和反编译&frida脱壳&APP单/双向认证&Root隐藏绕过技巧

# Android APP抓包与逆向分析完全指南 ## 0x1 前言移动安全测试已成为渗透测试工程师必备技能，本文详细讲解Android APP抓包、反编译、frida脱壳、单/双向认证绕过及Root隐藏等核心技术。 ## 0x2 APP抓包基础 ### 一、抓包工具概述常用抓包工具：Burpsuite、mitmproxy、Fiddle、Reqable（小黄鸟）抓包方式：系统代理、AP热点抓包、透明代理 ### 二、Android版本差异 - **Android < 7**：证书可

2025-11-21 12:09:30

无线程Shellcode注入：突破EDR检测的隐匿技术

# 无线程Shellcode注入技术教学文档 ## 技术概述无线程Shellcode注入是一种新型的进程注入技术，通过在目标进程中劫持合法函数调用流程，实现无痕代码执行，有效规避传统EDR（终端检测与响应）系统的检测机制。 ## 传统注入技术检测特征分析 ### 标准进程注入IoC链 1. **进程访问阶段** - 用户态API：`OpenProcess(PROCESS_ALL_ACCESS)` - 内核态系统调用：`NtOpenProcess`的DesiredAccess参

2025-11-21 12:08:06

2025年NSSCTF秋季招新赛（校外赛道）WP

# 2025年NSSCTF秋季招新赛（校外赛道）WP教学文档 ## 概述本教学文档基于2025年NSSCTF秋季招新赛（校外赛道）的WriteUp，涵盖Mobile、Reverse、Web等多个方向的关键技术点。文档将详细解析每道题目的解题思路、技术原理和实现方法。 --- ## MOBILE方向 ### 题目：催眠APP **技术点**：Frida Hook、Kotlin协程延迟绕过 #### 解题思路 1. **目标**：绕过APP中96小时（345600000毫秒）的时间限制。

2025-11-21 12:06:11

2025?CTF Week1-4 web题解

# 2025?CTF Web题目综合解析与攻防技术详解 ## 概述本文档系统分析2025?CTF比赛中Week1-4的Web题目解题思路，涵盖多种Web安全漏洞类型和攻击技术。 ## Week1 题目解析 ### 1. Gitttttttt **漏洞类型**：Git信息泄露 **攻击方法**： ```bash python GitHack.py http://challenge.ilovectf.cn:30746/.git ``` **技术要点**： - 利用.git目录泄露获取源码 -

2025-11-21 12:04:28

关于高版本glibc通过IO_FILE的任意地址读写

# 高版本glibc通过IO_FILE的任意地址读写技术分析 ## 一、IO_FILE结构概述 ### 1.1 核心结构体定义 **\_IO\_FILE\_plus结构体** ```c struct _IO_FILE_plus { FILE file; const struct _IO_jump_t *vtable; }; ``` **\_IO\_FILE结构体** ```c struct _IO_FILE { int _flags;

2025-11-19 12:12:33

CVE-2025-32023 Redis HyperLogLog 整数溢出漏洞深度研究报告

# CVE-2025-32023 Redis HyperLogLog 整数溢出漏洞深度教学文档 ## 1. 漏洞概述 ### 1.1 漏洞基本信息 - **CVE编号**: CVE-2025-32023 - **漏洞类型**: 整数溢出 → 越界写入 → 远程代码执行(RCE) - **严重等级**: 高危 (CVSS 7.0) - **影响版本**: Redis 2.8.9 - 8.0.2 - **修复版本**: Redis 8.0.3+, 7.4.5+, 7.2.10+, 6.2.19+

2025-11-19 12:10:28

东方通/ejbserver/ejb接口反序列化分析

# 东方通TongWeb EJB接口反序列化漏洞分析教学文档 ## 漏洞概述本漏洞存在于东方通应用服务器TongWeb的EJB接口组件中，涉及Java反序列化安全漏洞。攻击者可通过构造恶意序列化数据在目标服务器上实现远程代码执行。 ## 受影响版本 - TongWeb 7.0.0.0 至 7.0.4.9_M9 - TongWeb 6.1.7.0 至 6.1.8.13 ## 技术原理分析 ### 反序列化入口点漏洞核心入口位于EJB请求处理机制中。当TongWeb服务器接收EJB请求时

2025-11-19 12:07:15

Spring Boot详解&项目建立

# Spring Boot 详解与项目建立教学文档 ## 一、Spring Boot 概述 ### 1.1 Spring 框架简介 Spring 是一个轻量级的 Java 开发框架，旨在解决企业级应用开发的复杂性，通过以下四种关键策略简化开发： - 基于 POJO 的轻量级和最小侵入性编程 - 通过 IOC 容器、依赖注入(DI)和面向接口实现松耦合 - 基于切面(AOP)和惯例进行声明式编程 - 通过切面和模板减少样板代码 ### 1.2 Spring Boot 定位 Spring Bo

2025-11-18 12:06:34

CC2反序列化武器化：一站式实现三大内存马持久化

# CC2反序列化武器化：一站式实现三大内存马持久化技术文档 ## 1. 引言 ### 1.1 无文件攻击背景在网络安全防御体系日趋完善的背景下，传统文件型攻击手段面临严峻挑战。杀毒软件的实时监控、文件完整性校验、静态特征检测等技术使得基于文件落地的恶意代码难以长期存活，无文件攻击技术因此兴起。 ### 1.2 无文件攻击本质特征 - **内存驻留性**：恶意代码直接运行在进程内存空间中，不产生或极少产生磁盘文件痕迹 - **进程寄生性**：依赖合法进程作为载体，将恶意代码注入到系统信任

2025-11-18 12:04:48

AI大模型+N8N工作流的自动化安全测试流程初探

# AI大模型与N8N工作流结合的自动化安全测试流程教学文档 ## 1. 背景与目标 ### 1.1 背景分析当前开源AI自动化渗透测试工具存在工程化、商业化程度不足的问题。传统越权漏洞检测方法（如BurpSuite的Autorize插件）存在两大局限： - 固定替换请求头方式死板，无法智能识别参数含义 - 仅通过响应包长度判断，误报率高 ### 1.2 系统目标构建基于水平越权漏洞检测的AI自动化测试系统，实现： - AI智能修改参数并重放请求 - AI自动比对响应内容检测漏洞 -

2025-11-17 12:03:23

Neural Solution 代码执行漏洞分析

# Neural Solution 代码执行漏洞分析与利用教学 ## 漏洞概述 Intel® Neural Compressor 的 Neural Solution 模块存在远程代码执行漏洞，攻击者可通过精心构造的恶意请求在服务端执行任意命令。 ## 组件介绍 ### Intel® Neural Compressor - 开源 Python 库 - 支持主流深度学习框架：TensorFlow、PyTorch、ONNX Runtime、MXNet - 提供模型压缩技术：量化、剪枝、蒸馏、神

2025-11-17 12:02:17

跳转到页