爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

某低代码平台代码审计分析

# 低代码平台代码审计分析报告 ## 一、权限绕过漏洞分析 ### 1. 第一种绕过方式 - **漏洞位置**：SessionFilter - **绕过方法**：添加特定请求头即可绕过权限检查 - **利用方式**：在请求中添加头 `internalRequestKey: schedule_898901212` ### 2. 第二种绕过方式 - **漏洞原理**：类似Shiro的权限绕过 - **绕过方法**：使用路径遍历技术 - **利用示例**：`static/../je/docume

2025-08-19 01:29:26

jsoniter参数走私浅析

# Jsoniter参数走私浅析 ## 1. Jsoniter简介 Jsoniter(Json-iterator)是一个高性能的JSON解析库，为Java和Go语言提供了简单而高效的API来进行JSON的序列化和反序列化操作。相比标准库，Jsoniter在性能上有显著优势，但也带来了一些潜在的安全风险。 ## 2. 参数走私原理参数走私(Parameter Smuggling)是指利用不同组件对输入数据解析的差异，构造特殊输入使系统产生不一致的解析结果，从而绕过安全检查或产生非预期行为

2025-08-19 01:28:33

第一届 "帕鲁杯" - CTF挑战赛-Misc-350×350

# "帕鲁杯" CTF挑战赛Misc-350×350题目解析与教学文档 ## 题目概述这是一道Misc类CTF题目，涉及多种隐写术和文件分析技术。题目提供了一个包含图片和加密压缩包的文件，需要通过多层分析才能获取最终flag。 ## 解题步骤详解 ### 第一步：初始文件分析 1. 下载附件后发现包含一张图片(key.jpg)和一个需要密码的压缩包 2. 使用010 Editor分析key.jpg，在文件尾部发现异常数据： - docProps/app.xml - docPr

2025-08-19 01:27:38

在java高版本，如何使用动态语言特性。

# Java高版本中的动态语言特性使用指南 ## 1. 动态语言特性概述动态语言特性允许在代码执行过程中根据输入改变执行逻辑和调用的方法。在PHP等动态语言中，可以直接使用字符串来动态创建对象和调用方法。但在Java中，这种灵活性需要通过特定机制实现。 ## 2. Java反射机制 ### 2.1 反射基础反射是Java实现动态特性的主要方式，允许程序在运行时获取类的信息并操作类或对象的成员。 ```java // 反射动态执行示例 package com.bilisheep;

2025-08-19 01:26:58

DVWA—命令执行练习

# DVWA命令执行漏洞教学文档 ## 一、命令执行漏洞概述命令执行漏洞是指应用程序未对用户输入进行充分过滤，导致攻击者能够通过构造特殊输入在服务器上执行任意系统命令的安全漏洞。 ## 二、DVWA命令执行实验环境 DVWA(Damn Vulnerable Web Application)提供了四个安全等级的命令执行实验场景： 1. **Low级别**：无任何过滤 2. **Medium级别**：部分过滤 3. **High级别**：严格过滤但有缺陷 4. **Impossible级

2025-08-19 01:26:10

# DC-5 靶机渗透测试教学文档 ## 一、环境信息 - **攻击机IP**: 192.168.44.133 - **靶机IP**: 192.168.44.138, 192.168.44.142 - **靶机下载地址**: [https://vulnhub.com/entry/dc-5,314/](https://vulnhub.com/entry/dc-5,314/) ## 二、信息收集阶段 ### 1. 主机发现使用以下命令发现存活主机: ```bash nmap -sn 1

2025-08-19 01:25:19

探索程序分析：以静态单赋值(SSA)格式为基础的YakSSA

# 静态单赋值(SSA)格式与YakSSA程序分析技术教学文档 ## 1. 数据流分析基础 ### 1.1 数据流分析概念数据流分析是程序分析的一种重要技术，它通过追踪程序中数据的流动和变化来理解程序行为。核心思想是分析变量如何被定义、使用和传播。 ### 1.2 数据流分析示例考虑以下Go代码示例： ```go var a = func1() var c = 1 c += a var target = func2(c) ``` 在这个例子中，我们可以提出两个关键问题： 1.

2025-08-19 01:14:45

Java内存马基础(1)--三大件基础（Servlet、Filter、Listener）原创

# Java Web 三大件与Tomcat架构详解 ## 1. Java Web 三大件基础 Java Web开发中的三大核心组件是Servlet、Filter和Listener，它们构成了Java Web应用的基础架构。 ### 1.1 Servlet #### 1.1.1 Servlet简介 Servlet是用Java编写的服务器端程序，用于处理客户端请求并生成动态响应。主要特点包括： - 高效：支持缓存和多线程处理 - 方便：提供大量实用工具例程（解析表单数据、处理Cookie等

2025-08-19 01:13:51

SharkTeam：Sonne Finance攻击事件分析

# Sonne Finance 攻击事件技术分析与防范指南 ## 1. 事件概述 2024年5月15日，Sonne Finance遭受攻击，损失超过2000万美元。攻击者利用了两个关键漏洞：捐赠攻击和计算精度问题，通过精心设计的攻击流程窃取了大量资金。 ## 2. 攻击细节分析 ### 2.1 攻击基本信息 - **攻击者地址**: 0xae4a7cde7c99fb98b0d5fa414aa40f0300531f43 - **攻击合约**: 0x02fa2625825917e9b1f8

2025-08-19 01:12:33

如何通过VirtualBox kext漏洞禁用MacOS SIP

# VirtualBox kext漏洞利用：禁用MacOS SIP技术分析 ## 1. 系统完整性保护(SIP)概述系统完整性保护(System Integrity Protection, SIP)是OS X El Capitan及后续MacOS版本引入的安全机制，用于保护关键系统组件免受攻击，包括root用户。SIP通过以下方式实现保护： - 限制对系统目录的写入 - 阻止动态库注入到系统进程 - 保护内核扩展不被加载 - 限制调试工具的使用 ## 2. VirtualBox驱动漏洞

2025-08-19 01:11:49

Kraken勒索软件分析

# Kraken勒索软件深度分析与防御指南 ## 1. Kraken勒索软件概述 Kraken Cryptor是一种勒索软件即服务(RaaS)模式的恶意软件，最早于2018年8月出现在地下论坛。该勒索软件具有以下核心特征： - 使用C# (.NET 3.5)编写，大小约85KB - 全自动化操作流程 - 采用混合加密算法，每个文件使用唯一密钥 - 具备反调试和反取证能力 - 采用RaaS商业模式，开发者与分支成员分成 ## 2. 技术特性分析 ### 2.1 加密机制 - **混合加

2025-08-19 01:10:31

# OSINT 信息收集实战教学文档 ## 一、基础OSINT题目解析 ### 1.1 题目概述题目要求通过提供的图片信息找出机场名、航班号以及黄色灯光处的位置。 ### 1.2 解题步骤详解 #### 1.2.1 初始信息分析 - 图片拍摄时间为4月22日 - 左下角建筑在卫星地图显示为建筑地基 - 根据机翼分析，航空公司为海南航空 - 飞机注册号为B-22开头（中国机型首字母为B） #### 1.2.2 飞机注册号查询 1. 访问飞机信息网站：https://www.planes

2025-08-19 01:09:26

跳转到页