爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

重新认识被人遗忘的HTTP头注入

# HTTP头注入漏洞全面解析与防御指南 ## 1. HTTP头注入概述 HTTP头注入是一种利用应用程序对HTTP请求头处理不当的安全漏洞，攻击者通过篡改HTTP头字段值，可能导致多种安全问题。这类漏洞常被忽视但危害严重，包括密码重置中毒、XSS、Web缓存中毒甚至远程代码执行。 ## 2. Host头注入详解 ### 2.1 Host头的作用与背景 - HTTP/1.1规范强制要求Host头字段 - 用于区分同一IP上的不同虚拟主机 - 常见获取方式： - Java: `req

2025-08-17 23:01:54

关于网络钓鱼的深入讨论

# 网络钓鱼攻击技术深度解析与防御指南 ## 一、网络钓鱼攻击概述网络钓鱼是一种通过伪装成可信实体获取敏感信息的攻击方式，近年来手法日益高明。攻击者社工经验愈加丰富，钓鱼技术愈加先进新颖。企业仅靠技术手段难以完全防范，关键在于提升员工安全意识。 ## 二、成功网络钓鱼攻击的核心要素 ### 1. 合理迫切的借口 - 精心设计的故事或诡计，伪装成合法请求或任务 - 需要前期充分的信息收集（组织新闻、社交媒体、招聘信息等） ### 2. 有效的Payload - 执行恶意活动的关键组件

2025-08-17 23:01:01

PHP反序列化与WordPress一些意外BUG的有趣结合

# PHP反序列化漏洞与WordPress安全研究 ## 0x00 前言本文详细分析PHP反序列化漏洞在WordPress环境中的实际应用，通过真实案例展示如何发现、利用这类漏洞，并探讨其安全影响。 ## 0x01 PHP反序列化漏洞基础 ### 1.1 反序列化漏洞原理当攻击者能够控制传递给`unserialize()`函数的数据时，就可能存在反序列化漏洞。关键点在于： - 攻击者可以控制反序列化后对象的属性 - 通过操纵对象属性可以影响代码执行流程 - 这种技术称为面向属性编

2025-08-17 23:00:30

安卓四大组件审计实验（drozer）

# Android四大组件安全审计与Drozer工具使用指南 ## 一、实验概述本实验使用Drozer工具对Android应用的四大组件（Activity、Service、Content Provider、Broadcast Receiver）进行安全审计，发现潜在的安全漏洞。 ## 二、实验环境准备 ### 基础环境 - 操作系统：Windows 10 - 开发工具：Android Studio 3 - Python版本：2.7 (32位) - Drozer版本：2.4.4 ###

2025-08-17 22:59:26

控制流程完整性：给大家介绍一种“另类”的Javascript反分析技术

# JavaScript控制流程完整性反分析技术详解 ## 1. 技术背景 JavaScript作为一种解释型语言，其源代码通常可以直接查看，这使得恶意软件分析人员能够相对容易地理解恶意代码的真实行为。为了对抗分析，攻击者开发了一种基于控制流程完整性的反分析技术。 ## 2. 核心原理该技术利用JavaScript的函数调用特性实现控制流完整性验证： 1. **函数名作为密钥**：使用`arguments.callee.name`获取当前函数名作为解密密钥 2. **动态解密**：加

2025-08-17 22:58:15

谷歌为G-Suite服务部署全新反钓鱼和恶意软件检测功能

# G Suite 全新反钓鱼和恶意软件检测功能配置指南 ## 功能概述 Google 于2018年3月为G Suite服务推出了全新的AI安全功能，主要针对企业用户的电子邮件安全防护，包括： 1. **恶意软件检测**：自动检测含有潜在恶意软件的电子邮件 2. **钓鱼攻击防护**：识别并提醒用户潜在的钓鱼攻击威胁 3. **可疑内容标记**：对特定高风险内容进行标记警告 ## 主要防护功能 ### 1. 高风险内容检测系统会自动检测并标记以下类型的电子邮件内容： - 携带加密文

2025-08-17 22:57:38

专注Web及移动安全[红日安全31期]

# Web及移动安全综合教学文档 ## 一、安全漏洞分析 ### 1.1 微软Office Excel安全特性绕过 (CVE-2018-0907) - **漏洞类型**：安全特性绕过 - **影响范围**：Microsoft Office Excel - **利用方式**：攻击者可构造特殊Excel文件绕过安全机制 - **防护措施**： - 及时安装微软安全更新 - 禁用Office宏执行 - 使用受保护的视图打开未知来源文件 ### 1.2 Samba漏洞预警 (CVE-2

2025-08-17 22:47:18

爬虫代理搭建与批量安装

# Squid代理服务器搭建与批量安装教程 ## 1. 概述本教程详细介绍如何在CentOS系统上搭建Squid代理服务器，包括基本配置、认证设置、高匿模式配置以及批量安装方法。适用于爬虫开发者需要自建代理池的场景。 ## 2. 环境准备 - 操作系统：CentOS - 软件：Squid - 工具：htpasswd（用于认证配置） ## 3. 单机安装与配置 ### 3.1 安装Squid ```bash yum install squid -y ``` 安装完成后，配置文件位

2025-08-17 22:46:04

CTF实战|USV-2017全题解

# USV-2017 CTF靶机全题解教学文档 ## 靶机概述 USV-2017是一个包含5个flag的CTF靶机，flag分别对应以下国家/地区： - Croatia - France - Italy - Laos - Philippines ## 环境搭建靶机下载和搭建信息未在文中详细说明，但通常CTF靶机可以以虚拟机镜像形式运行。 ## 解题步骤详解 ### 第一步：信息收集 1. **端口扫描** - 使用nmap扫描靶机开放端口 - 发现开放端口：21(FT

2025-08-17 22:45:23

挖洞经验 | 看我如何在Jive-n中发现了一个XXE漏洞 (CVE-2018-5758)

# XML外部实体注入(XXE)漏洞分析与利用教学文档 ## 1. XXE漏洞概述 XML外部实体注入(XXE)是一种安全漏洞，攻击者能够通过操纵应用程序的XML解析器来读取服务器上的任意文件，执行远程请求，甚至可能导致服务器端请求伪造(SSRF)。 ## 2. 漏洞发现背景 - **目标系统**: Jive Software的Jive-n平台（企业内网社交通信软件） - **漏洞编号**: CVE-2018-5758 - **漏洞类型**: 文件上传功能中的XXE漏洞 - **影响**

2025-08-17 22:44:45

WannaMine新动向：对Weblogic服务端发起大规模攻击

# WannaMine挖矿僵尸网络攻击分析与防御指南 ## 1. WannaMine概述 WannaMine是一个活跃于2017年9月的挖矿僵尸网络，主要针对服务器进行攻击并植入门罗币(Monero)挖矿程序。该僵尸网络经历了多次更新，攻击手法不断演变。 ### 1.1 历史演变 - **初始版本(2017年9月)**：使用"永恒之蓝"漏洞(MS17-010)和"Mimikatz"凭证窃取工具 - **2018年3月10日更新**：转向主要利用Weblogic反序列化漏洞(CVE-2017

2025-08-17 22:44:01

挖洞经验 | 看我如何发现Google云开发功能命令注入漏洞（$6000）

# Google云开发功能命令注入漏洞分析报告 ## 漏洞概述本报告详细分析Google云平台开发应用Cloud Shell中发现的一个客户端命令注入漏洞，该漏洞允许攻击者通过构造恶意URL在受害者环境中执行任意命令，Google最终为此漏洞支付了$6000的奖金。 ## 背景知识 ### Google Cloud Shell简介 Google Cloud Shell是Google于2015年10月发布的云平台功能，主要特点包括： - 允许开发者在任何浏览器中使用命令行管理基础设施和

2025-08-17 22:43:12

跳转到页