爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

代码审计之Foritify规则自定义

# Fortify规则自定义教学文档 ## 1. 基本介绍 Fortify静态代码分析器使用规则库来建模所分析程序的重要属性，这些规则为相关数据值提供了意义并实施了适用于代码库的安全编码标准。安全编码规则包描述了流行语言和公共API的通用安全编码习惯用法。 ### 1.1 支持的语言 - ABAP - ASP.NET - C - C++ - Java - .NET - PL/SQL - T-SQL - VB.NET ### 1.2 自定义规则的作用 - 对安全相关库的行为进行建模 - 描

2025-08-21 01:33:12

利用解压缩报错中断绕过WAF分析

# 解压缩报错中断绕过WAF分析与利用 ## 漏洞概述本文档详细分析两种PHP相关的安全漏洞及其利用方法： 1. PHP内置Web服务器源码泄露漏洞 2. 解压缩报错中断绕过WAF技术 ## 一、PHP内置Web服务器源码泄露漏洞 ### 受影响版本 - 成功版本：PHP <= 7.4.21（官方确认） - 实际测试成功版本：影响扩展到PHP 8.x某些版本 ### 漏洞描述 PHP从5.4版本开始提供了一个内置的web服务器(`php -S`)，主要用于本地开发环境。在特定条件下，

2025-08-21 01:32:08

SOLON 框架绕过 hessaion 黑名单利用

# SOLON框架绕过Hessian黑名单利用分析 ## 前言本文详细分析SOLON框架中Hessian反序列化漏洞的绕过利用技术，特别关注如何绕过内置的黑名单防护机制。该技术在近期网络安全竞赛(如SU比赛和国赛)中多次出现，具有实际应用价值。 ## 环境分析 ### 关键依赖 - **Fastjson**: 提供JSON处理能力 - **H2 Database**: 嵌入式数据库，包含潜在的危险功能 - **Hessian**: 反序列化入口点 ### 反序列化入口代码中提供了一

2025-08-21 01:31:33

Go语言ssti漏洞

# Go语言SSTI漏洞深入分析与防御指南 ## 1. SSTI漏洞概述 SSTI(Server-Side Template Injection)漏洞是由于不安全地处理模板引擎输入而导致的漏洞。攻击者可以利用SSTI注入恶意代码或表达式到模板引擎中，从而在服务器上执行任意代码或获取敏感数据。 ## 2. Go语言中的模板引擎 Go语言内置了两个模板引擎： ### 2.1 text/template - 用于生成纯文本输出 - 更灵活，但没有自动转义功能 - 容易导致SSTI漏洞 ##

2025-08-21 01:30:59

307 跳转 getshell

# MinIO SSRF漏洞与Docker API未授权访问结合利用分析 ## 1. 漏洞背景 ### 1.1 MinIO SSRF漏洞 MinIO是一个高性能对象存储服务，在RELEASE.2021-01-30T00-20-58Z之前的版本中存在服务器端请求伪造(SSRF)漏洞。该漏洞源于MinIO会从HTTP头Host中获取地址并构造新的URL，攻击者可以通过控制Host头实现SSRF攻击。 ### 1.2 Docker API未授权访问 Docker Swarm是Docker的集群管

2025-08-21 01:20:25

Fortify控制流巧用之XXE规则调试记录

# Fortify控制流规则在XXE漏洞检测中的应用与调试 ## 1. 前言 Fortify静态代码扫描工具在执行扫描时会加载默认规则和自定义规则。当需要仅使用自定义规则进行扫描时，可以通过Fortify portal接口执行扫描并附加参数来丢弃默认规则的导入。本文详细记录XXE漏洞静态代码扫描规则的定义、使用、优化和调试过程。 ## 2. 基础知识：控制流分析控制流分析器通过将安全属性建模为状态机来检测不安全操作序列： - **状态机组成**： - 初始状态(Initial s

2025-08-21 01:19:42

Jenkins 框架之 Groovy getshell

# Jenkins框架之Groovy Getshell技术研究 ## 环境搭建 Jenkins环境搭建有多种方法，为方便起见，可以直接使用P神提供的现成环境。搭建成功后应确保Jenkins服务正常运行。 ## 利用思路分析 ### 历史漏洞利用 1. 可搜索Jenkins历史漏洞进行利用 2. 参考工具：JenkinsExploit-GUI (https://github.com/TheBeastofwar/JenkinsExploit-GUI) ### 弱口令利用 - 当历史漏洞无法

2025-08-21 01:17:53

不出网下的XSS回显和apache配置解析的利用

# 不出网下的XSS回显和Apache配置解析利用技术分析 ## 1. 漏洞背景分析本文档分析了一个结合XSS攻击和Apache配置解析漏洞的综合利用案例，涉及以下关键技术点： 1. 存储型XSS利用 2. Apache配置解析漏洞 3. 条件竞争的SSTI攻击 ## 2. 目标系统分析 ### 2.1 系统功能目标系统是一个名为"MysteryMessageBoard"的留言板系统，主要功能包括： - 用户登录/注销 - 留言评论功能 - 管理员访问控制 ### 2.2 关键

2025-08-21 01:17:24

SecLog Go-基于论文的安全应用分析

# 基于SECLOG的安全日志改进与访问控制教学文档 ## 1. 访问控制基础 ### 1.1 访问控制概念访问控制(Access Control)是保护系统、数据和资源安全的关键技术，通过限制未经授权的访问来保护敏感信息、资源和系统免受恶意攻击或误操作。 ### 1.2 典型应用场景 1. **文件系统访问控制**：防止企业或组织敏感数据泄露 2. **数据库访问控制**：防止机密或隐私数据被非法访问或破坏 3. **云存储共享权限**：如Google Drive、Dropbox等

2025-08-21 01:16:44

h2注入系统学习

# H2数据库注入系统学习文档 ## 1. H2数据库基础注入技术 ### 1.1 文件读取 H2数据库提供了文件读取功能，可以通过以下SQL语句实现： ```sql SELECT * FROM CSVREAD('文件路径'); ``` 简化用法（只输入文件名参数）： ```sql SELECT * FROM CSVREAD('test.txt'); ``` ### 1.2 文件写入 H2数据库支持文件写入操作： ```sql CALL CSVWRITE('文件路径', 'SEL

2025-08-21 01:15:45

JNDI 高版本MemoryUserDatabaseFactory 利用

# JNDI高版本利用：MemoryUserDatabaseFactory攻击分析 ## 前言 JNDI（Java Naming and Directory Interface）的高版本利用一直是安全研究的热点。本文详细分析了一种针对高版本JDK的JNDI利用方法，通过MemoryUserDatabaseFactory实现攻击，绕过了高版本JDK的安全限制。 ## JNDI低版本利用方法回顾 ### 传统RMI利用方式低版本JDK中，JNDI攻击通常通过远程代码加载实现： 1. *

2025-08-21 01:15:09

fastjson 原生配合 jdk 原生的利用总结

# Fastjson原生配合JDK原生利用链深度分析与总结 ## 1. Fastjson原生利用机制分析 ### 1.1 Fastjson基础触发原理 Fastjson在序列化对象时会自动调用对象的getter方法，这是其核心利用点。关键调用链如下： ``` toJSONString() -> write() -> ASM序列化引擎 -> 调用getter方法 ``` 调试分析要点： - 通过`toJSONString`方法触发序列化过程 - 关键点在于`writer.write`方法

2025-08-21 01:14:34

跳转到页