爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

Hongcms 3.0.0后台SQL注入漏洞分析

# HongCMS 3.0.0后台SQL注入漏洞分析教学文档 ## 一、漏洞概述 HongCMS 3.0.0版本后台存在SQL注入漏洞，攻击者可通过构造恶意SQL语句绕过系统过滤机制，执行任意SQL命令。 ## 二、受影响版本 HongCMS < 3.0.0 ## 三、漏洞原理 ### 漏洞位置后台数据库维护功能中的"清空数据表"操作 ### 漏洞成因 1. 程序对用户输入的数据库表名过滤不严格 2. 使用不安全的过滤函数组合（stripslashes/htmlspecialch

2025-08-17 16:00:57

探索基于.NET下实现一句话木马之SVC篇

# 基于.NET实现SVC一句话木马技术详解 ## 0x01 前言本文是探索.NET三驾马车实现一句话木马的完结篇，重点介绍基于WCF服务的SVC文件实现一句话木马的技术。前两篇分别介绍了ashx和asmx一句话木马，本文代码已同步至GitHub。 ## 0x02 WCF基础原理 WCF (Windows Communication Foundation) 是微软为构建面向服务的应用程序提供的统一编程模型，能够解决不同应用程序域、不同平台之间的通信问题。WCF统一了多种分布式技术：

2025-08-17 16:00:15

Chrome 68将所有HTTP网站标记“不安全”，10月升级红色警告

# Chrome浏览器HTTPS加密普及与SSL证书应用指南 ## 一、Chrome浏览器HTTPS安全策略演进 ### 1.1 安全标记时间线 - **2017年初**：仅对收集密码和信用卡信息的HTTP网站标记"不安全" - **2017年扩展**：扩展到两种情况： - 用户在HTTP页面输入数据时 - 隐身模式下访问的所有HTTP页面 - **2018年7月(Chrome 68)**：对所有HTTP页面统一标记"Not Secure" - **2018年10月(Chrome 7

2025-08-17 15:59:22

SecWiki周刊（第229期）

# 网络安全技术与实践综合教学文档 ## 一、安全资讯与行业动态 ### 1.1 人物与创业 - **云众可信陈博**：从少年黑客到可信众测创业者的转型历程，展示了安全从业者的职业发展路径 - **关键点**：杀马特文化背景、黑客技术转型、众测商业模式 ### 1.2 地缘政治与网络安全 - 网络武器已成为国家间对抗工具 - 地缘政治因素对网络安全策略的深远影响 - **案例**：国家级APT攻击、网络空间军事化趋势 ### 1.3 人才培养 - 全国中学生网络安全竞赛的兴起 - **意

2025-08-17 15:58:35

Java代码审计丨某开源系统源码审计

# Java代码审计实战：某开源系统源码审计教学文档 ## 1. 审计概述本次审计对象是一个公司网站开源模板系统，基于Java技术栈开发。审计过程中发现了多个安全漏洞，包括Struts2系列漏洞、文件上传漏洞和SQL注入漏洞。 ## 2. 审计准备工作 ### 2.1 环境搭建 - 导入项目到开发环境 - 了解项目目录结构 - 识别使用的框架版本（特别是Struts2） ### 2.2 审计工具 - 代码编辑器（用于浏览源码） - 全局搜索功能（查找关键函数和变量） - Struts

2025-08-17 15:57:23

基于Golang打造开源的WAF网关

# Janusec Application Gateway 开源WAF网关教学文档 ## 1. 背景与概述 Janusec Application Gateway 是一款基于Golang开发的开源应用安全网关，主要提供Web应用防火墙(WAF)和统一入口功能。它的设计灵感来源于Google Front-End (GFE)和Microsoft Azure Application Gateway，旨在为私有化部署提供类似的安全基础设施能力。 ## 2. 核心功能 ### 2.1 基础功能

2025-08-17 15:56:44

WebLogic两处任意文件上传漏洞动态分析（CVE-2018-2894）

# WebLogic 任意文件上传漏洞分析 (CVE-2018-2894) ## 漏洞概述 Oracle WebLogic Server 管理端存在两处未授权的任意文件上传漏洞，攻击者可通过这两个漏洞上传恶意文件获取服务器权限。漏洞影响版本包括： - 10.3.6.0 - 12.1.3.0 - 12.2.1.2 - 12.2.1.3 漏洞危害评分高达9.8分，属于高危漏洞。 ## 漏洞位置存在漏洞的两个页面： 1. `/ws_utc/begin.do` 2. `/ws_utc/con

2025-08-17 15:45:53

浏览器攻击框架BeEF Part 5：Web应用及网络攻击测试

# BeEF浏览器攻击框架Part 5：Web应用及网络攻击测试教学文档 ## 1. 前言本教学文档基于BeEF框架第五部分内容，重点讲解如何利用被勾连的浏览器进行网络攻击和Web应用攻击。这些技术在不违反同源策略(SOP)的前提下实现，部分攻击技术使用了Tunneling Proxy技术。 ## 2. 网络攻击技术 ### 2.1 攻击内网的基本步骤 1. **识别目标** 2. **Ping Sweep** 3. **扫描端口** ### 2.2 识别目标 #### 2.2.

2025-08-17 15:45:20

XXE漏洞利用技巧：从XML到远程代码执行

# XXE漏洞利用技巧：从XML到远程代码执行 ## 1. XXE漏洞概述 XXE（XML External Entity）即XML外部实体注入漏洞，当应用程序解析用户提供的XML输入时，允许引用外部实体，攻击者通过构造恶意内容可能导致： - 任意文件读取 - 系统命令执行 - 内网端口探测 - 攻击内网网站 ## 2. 基本利用方式 ### 2.1 文件读取示例 ```xml ]> John, Doe I love XML Computers

2025-08-17 15:44:38

开源日志分析系统建设（四）

# Filebeat日志收集工具详解 ## 一、Filebeat概述 Filebeat是一个轻量级的日志数据收集工具，属于Elastic公司Beats系列产品之一。它作为客户端代理安装在服务器上，专门用于监控指定的日志目录或文件，实时追踪文件变化并读取新增内容，然后将这些日志信息转发到Elasticsearch或Logstash等目标系统。 ## 二、Filebeat工作原理 ### 1. 核心组件 - **探测器(Prospectors)**：负责检测指定的日志目录或文件 - **收

2025-08-17 15:43:48

又一个登陆框引起的血案

# 登录框安全漏洞全面分析与防御指南 ## 0x00 信息泄露攻击面 ### 1. HTML源代码审计 - **敏感注释**：开发者遗留的测试账号、内部路径等 - **隐藏路径**：未公开的后台地址、测试接口 - **框架信息**：使用的框架版本可能包含已知漏洞 - **JS引用**：引用的JS文件可能包含敏感信息 ### 2. JS文件分析 - **接口泄露**：通过JS查找未文档化的API接口 - **敏感函数**：身份验证逻辑、加密算法实现 - **调试信息**：console.lo

2025-08-17 15:42:56

关注你的个人信息安全

# QQ群组个人信息安全防护指南 ## 一、QQ群组信息泄露现状 ### 1.1 信息泄露途径 - **群组成员提取工具**：通过搜索引擎可找到大量"QQ群组成员提取"工具，可批量获取群成员信息 - **群文件泄露**：未加密的群文件可能包含敏感个人信息 - **权限设置不当**：未设置访问权限的群组允许游客进入并下载文件 ### 1.2 高危行业 - 教育培训行业（学生信息泄露风险高） - 信安圈（黑产重点攻击目标） - 其他使用QQ群共享文件的行业 ## 二、信息泄露案例分析 ##

2025-08-17 15:41:58

跳转到页