爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

python的lxml库的xxe防御

# Python中防御XXE漏洞的全面指南 ## 1. XXE漏洞简介 XXE (XML External Entity)漏洞是一种常见的安全漏洞，当应用程序解析XML输入时，如果未正确配置XML解析器，攻击者可以通过外部实体注入来读取服务器上的任意文件、发起SSRF攻击或导致拒绝服务攻击。 ## 2. lxml库中的XXE漏洞 ### 2.1 不安全的lxml使用方式以下代码展示了lxml库中不安全的XML解析方式，容易受到XXE攻击： ```python import lxml

2025-08-27 16:46:44

PHP索引数组+unset使用不当导致的问题

该文档没有简介

2025-08-27 16:45:52

PHP索引数组+unset使用不当导致的问题

# PHP索引数组与unset函数使用详解 ## 0x00 问题背景在Web开发中，文件上传功能的安全性至关重要。开发者通常会限制允许上传的文件类型，以防止恶意文件（如PHP脚本）的上传。常见的做法是维护一个允许上传的文件扩展名数组，并从中移除危险类型。 ## 0x01 问题描述 ### 错误示例代码 ```php $ext_limit = Array('gif','jpg','jpeg','bmp','png','php'); foreach (['php', 'html', 'h

2025-08-27 16:45:52

关于ZTJmessage cms的代码审计

该文档没有简介

2025-08-27 16:45:15

关于ZTJmessage cms的代码审计

# ZTJmessage CMS 代码审计深度分析 ## 0x01 审计准备 ### 工具与环境 - **审计工具**：Seay源码审计工具 - **审计原则**：从配置文件入手，逐步分析入口文件和核心功能 ### 框架基础分析 1. **核心配置文件**： - 定义了基本类结构 - 载入了输入库文件和所有控制器类 - 实例化了两个关键类： - `adminlogin` 类 - `userrequest` 类 2. **安全函数分析** (`safe

2025-08-27 16:45:15

[红日安全]代码审计Day1 - in_array函数缺陷

该文档没有简介

2025-08-27 16:34:17

[红日安全]代码审计Day1 - in_array函数缺陷

# PHP代码审计：in_array()函数缺陷与安全风险 ## 1. in_array()函数基础 ### 1.1 函数定义 `in_array()`是PHP中用于检查数组中是否存在某个值的函数，其定义如下： ```php bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) ``` - `$needle`: 要搜索的值 - `$haystack`: 要搜索的数组 - `$strict`

2025-08-27 16:34:17

[红日安全]代码审计Day2 - filter_var函数缺陷

该文档没有简介

2025-08-27 16:33:26

[红日安全]代码审计Day2 - filter_var函数缺陷

# PHP代码审计：filter_var函数缺陷与XSS漏洞利用 ## 1. 漏洞背景本文分析PHP中`filter_var`函数在URL验证时的缺陷，以及如何利用这种缺陷绕过安全过滤实现XSS攻击。案例来源于Twig模板引擎和Anchor CMS 0.9.2版本的实际漏洞。 ## 2. 核心漏洞分析 ### 2.1 filter_var函数缺陷 `filter_var`是PHP内置的变量过滤函数，当使用`FILTER_VALIDATE_URL`过滤器时存在以下问题： ```php

2025-08-27 16:33:26

[红日安全]代码审计Day3 - 实例化任意对象漏洞

该文档没有简介

2025-08-27 16:32:45

[红日安全]代码审计Day3 - 实例化任意对象漏洞

# PHP代码审计：实例化任意对象漏洞与XXE攻击分析 ## 1. 漏洞概述本文分析PHP代码中两种常见的安全漏洞： 1. 通过`class_exists()`函数导致的文件包含漏洞 2. 通过用户控制的类实例化导致的任意对象实例化漏洞（可导致XXE攻击） ## 2. 漏洞解析 ### 2.1 文件包含漏洞（class_exists函数） **漏洞代码特征**： ```php class_exists($classname, true); // 第二个参数为true时会自动调用__

2025-08-27 16:32:45

报错注入邂逅load_file&into outfile搭讪LINES

该文档没有简介

2025-08-27 16:31:46

跳转到页