爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

Spel的研究总结

# Spring表达式语言(SpEL)注入漏洞研究与挖掘指南 ## 前言本文基于对SpEL表达式的深入研究，总结了多种Spring组件中存在的SpEL注入场景，并详细分析了CVE-2022-22980漏洞的发现过程和技术细节。旨在为安全研究人员提供SpEL漏洞挖掘的系统性方法。 ## SpEL注入常见场景 ### 1. spring-cloud-starter-netflix-turbine **漏洞点**： - `application.properties`中的`turbine.

2025-08-27 03:12:09

Seccomp、BPF与容器安全

该文档没有简介

2025-08-27 03:11:29

Seccomp、BPF与容器安全

# Seccomp、BPF与容器安全 - 教学文档 ## 1. Seccomp简介 Seccomp(全称secure computing mode)是Linux内核支持的一种安全机制，用于限制进程可用的系统调用(system call)。通过Seccomp，我们可以限制程序使用某些系统调用，从而减少系统的暴露面，提高安全性。 ### 1.1 Seccomp发展历史 - **2005年(Linux 2.6.12)**：引入第一个版本的seccomp，通过`/proc/PID/seccomp

2025-08-27 03:11:29

CVE-2022-22980 Spring Data MongoDB SpEL表达式注入

该文档没有简介

2025-08-27 03:09:35

CVE-2022-22980 Spring Data MongoDB SpEL表达式注入

# Spring Data MongoDB SpEL表达式注入漏洞(CVE-2022-22980)分析 ## 漏洞概述 CVE-2022-22980是Spring Data MongoDB中的一个SpEL表达式注入漏洞，影响版本为3.3.4及以下。当使用`@Query`或`@Aggregation`注解进行数据库查询，并且使用了占位符获取参数时，可能导致SpEL表达式注入。 ## 漏洞原理 ### 触发条件 1. 使用Spring Data MongoDB 3.3.4或更低版本 2. 在

2025-08-27 03:09:35

CVE-2022-25165：AWS VPN 客户端中的 SYSTEM 权限提升

该文档没有简介

2025-08-27 03:09:01

CVE-2022-25165：AWS VPN 客户端中的 SYSTEM 权限提升

# AWS VPN 客户端权限提升与信息泄露漏洞分析 (CVE-2022-25165/CVE-2022-25166) ## 漏洞概述 AWS VPN客户端在2.0.0版本中存在两个严重漏洞： 1. **CVE-2022-25166** - 任意文件写入导致的SYSTEM权限提升漏洞 2. **CVE-2022-25165** - UNC路径导致的Net-NTLMv2哈希信息泄露漏洞这些漏洞已在3.0.0版本中修复。 ## 受影响产品 - **供应商**: Amazon Web Ser

2025-08-27 03:09:01

PHP文件上传流量层面WAF绕过

该文档没有简介

2025-08-27 03:08:18

PHP文件上传流量层面WAF绕过

# PHP文件上传流量层面WAF绕过技术详解 ## 一、简介 PHP文件上传实现规范为RFC1867，本文基于PHP 7.3.4 + nginx 1.20.1环境分析，相关源码可在GitHub获取。PHP解析multipart/form-data HTTP请求体的入口函数是`SAPI_POST_HANDLER_FUNC`。 ## 二、文件解析流程 PHP处理文件上传的基本流程如下： 1. 接收HTTP请求 2. 解析multipart/form-data格式 3. 处理Content-

2025-08-27 03:08:18

域委派原理与利用（个人学习的理解）

该文档没有简介

2025-08-27 03:07:35

域委派原理与利用（个人学习的理解）

# 域委派原理与利用详解 ## 域委派概述域委派是指将域内用户的权限委派给服务账户，使得服务账号能够以用户的权限在域内展开活动。简单来说，如果一个服务账号上设置了委派属性，那么这个服务就能够以用户权限在域内进行其他操作。 ### 委派的应用场景 1. **统一认证平台**：域内用户通过IIS统一认证平台登录，IIS需要使用SQL Server支撑用户访问，但IIS本身权限不足。 2. **文件服务器权限细分**：实现每个人不同的权限，能看到不同的目录。 ### 谁能被设置委派属性

2025-08-27 03:07:35

Android Proguard混淆对抗之我见

该文档没有简介

2025-08-27 03:06:38

跳转到页