爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

威胁快报 | 首个Spark REST API未授权漏洞利用分析

# Apache Spark REST API 未授权RCE漏洞分析与防护指南 ## 漏洞概述 2018年7月7日，阿里云安全团队首次捕获利用Apache Spark REST API未授权远程代码执行(RCE)漏洞的真实攻击样本。该漏洞允许攻击者无需认证即可通过REST API操作Spark，创建任务、删除任务、查看任务结果，最终获得执行任意指令的能力。 ## 漏洞背景 Apache Spark是专为大规模数据处理设计的快速通用计算引擎，由UC Berkeley AMP实验室开源。它提

2025-08-17 15:41:29

当Struts2遇到防火墙，你的思路够骚吗？

# Struts2漏洞利用与防火墙绕过技术详解 ## 一、漏洞背景本文介绍的是针对存在Struts2-046远程代码执行漏洞的系统进行渗透测试的过程。攻击者已确认目标系统存在该漏洞，并已获得root权限，但遇到了防火墙/安全策略的限制： - 可以执行非交互性命令 - 无法上传包含可执行代码的文件 - 常规webshell上传失败（仅允许上传txt等文本文件） ## 二、攻击思路分析在受限环境下，攻击者提出了三种可能的攻击路径： 1. **直接添加用户**：通过非交互命令添加用户并

2025-08-17 15:40:59

在Web服务器防止Host头攻击

# Web服务器防止Host头攻击的全面防护指南 ## 一、Host头攻击概述 Host头攻击是指攻击者通过篡改HTTP请求中的Host头部字段，试图绕过安全限制或实施其他恶意行为的攻击方式。虽然自动补全路径导致的302/301跳转风险较低，但出于合规要求，大多数企业仍需修复此类漏洞。 ## 二、Apache服务器防护方案 ### 方法一：使用规范名称 1. 修改`conf/httpd.conf`文件 2. 设置`ServerName`为应用域名： ``` ServerNa

2025-08-17 15:40:10

SecWiki周刊（第230期）

# 网络安全技术周刊解析与教学文档 ## 一、安全资讯 ### 1.1 数据堂侵犯个人信息专案 - **案件性质**：特大侵犯个人信息案件 - **关键点**：数据堂作为数据交易平台涉及非法个人信息交易 - **教学要点**： - 个人信息保护法律法规（如《网络安全法》） - 数据交易平台的合规要求 - 个人信息泄露的追踪取证技术 ### 1.2 蓝牙高危漏洞 - **漏洞影响**：可能影响数百万台设备 - **教学要点**： - 蓝牙协议栈安全分析 - 无线协议漏洞挖

2025-08-17 15:39:21

如何“爆破检测”加密密码字段和存在验证码的Web系统

# Web系统加密密码字段与验证码的爆破检测技术详解 ## 一、背景与目标本文针对具有以下安全防护措施的Web系统进行弱口令检测： 1. 密码字段前端加密（RSA加密） 2. 验证码防护（含干扰效果） 3. 无IP封禁机制（若有需结合代理池） ## 二、目标系统分析 ### 2.1 登录请求示例 ``` POST数据： __RequestVerificationToken=RpPpYuKWa6ZLB9nhRI3nod04bal0nr9NCFktqA4uFCvVNI4ui10CLOf1o

2025-08-17 15:28:00

AI in WAF | 腾讯云网站管家 WAF AI 引擎实践

# 腾讯云网站管家WAF AI引擎实践教学文档 ## 1. 网络安全现状与挑战 ### 1.1 当前网络安全威胁形势 - 数据窃取与暗网兜售现象频发 - 黑客攻击呈现高度组织化和专业化 - 攻击手法多样化：复杂攻击、未知威胁、0day漏洞利用 - 攻防对抗不对等现象日益明显 ### 1.2 传统WAF防护的局限性 - 单独部署WAF无法完全防止安全事件 - 核心防护存在缺陷时，黑客可找到渗透突破点 - 传统WAF被绕过的问题日益严重 ## 2. Web攻击检测技术演进 ### 2.1

2025-08-17 15:26:09

MaiInt：基于某应用的公司雇员信息收集测试工具

# MaiInt工具使用与开发详解 ## 1. 工具概述 MaiInt是一款针对中国职场社交平台"脉脉"的开源信息自动化收集测试工具，由埃森哲安全实验室Vincent Yiu开发。该工具能够基于脉脉平台执行公开资源情报(OSINT)操作，收集注册用户信息并分类整理，最终生成HTML和CSV格式的报告。 ## 2. 开发背景 - 中国职场社交平台缺乏类似LinkedIn的信息收集工具 - 国外已有LinkedInt等针对LinkedIn的工具 - 脉脉在中国比LinkedIn更活跃 - 京

2025-08-17 15:25:30

探索基于.NET下妙用DLL处理映射实现后渗透权限维持

# 基于.NET的DLL处理映射实现后渗透权限维持技术详解 ## 0x00 技术概述本技术利用.NET框架的特殊目录(App_Code和Bin)以及HTTP处理程序映射功能，实现高度隐蔽的后渗透权限维持。通过将恶意代码编译为DLL并配置自定义映射，攻击者可以创建难以检测的Web后门，实现任意后缀名访问，绕过传统IDS/IPS检测。 ## 0x01 核心原理 ### 1. .NET特殊目录机制 - **App_Code目录**：自动编译目录中的源代码文件(.vb/.cs)，Web应用中

2025-08-17 15:24:36

挖洞经验 | 看我如何发现Google生产网络SSRF漏洞获取$13337赏金

# Google生产网络SSRF漏洞挖掘与分析教学文档 ## 1. 漏洞背景 ### 1.1 相关技术介绍 **Google Sites**：谷歌协作平台，在线协作编辑工具，用于创建企业内网、项目管理跟踪、外延网等定制网站。 **Google Caja服务**： - 解析HTML/JavaScript文件 - 消除敏感内容（如iframe、object标签和document.cookie等） - 客户端HTML标记解析和安全过滤 - 服务端处理远程资源获取（如``） ## 2. 漏洞发

2025-08-17 15:23:23

AI in WAF | 腾讯云网站管家 WAF AI 引擎实践（下篇）

# 腾讯云网站管家 WAF AI 引擎技术实践详解 ## 一、AI在WAF中的应用背景与挑战 ### 1.1 行业技术难题 - **样本稀少问题**：Web攻击样本数量有限，导致AI检测模型建立困难 - **性能瓶颈**：AI算法在在线Web攻击检测中的处理性能挑战 - **误判与漏判**：传统AI模型在Web安全领域的准确性问题 ### 1.2 关键突破方向 1. **算法应用层面突破**：解决AI模型在线检测的瓶颈 2. **算法模型层面创新**：克服常规AI检测模型的弊端，最大化We

2025-08-17 15:22:17

2FA双因素认证之Authy

# Authy双因素认证(2FA)全面使用指南 ## 一、双因素认证基础概念 ### 1.1 什么是双因素认证(2FA) 双因素认证(2FA)是一种安全验证机制，要求用户提供两种不同类型的身份验证因素： - 你知道什么(密码) - 你拥有什么(手机/令牌) - 你是谁(生物特征) ### 1.2 为什么需要2FA - 防止单纯密码泄露导致的安全问题 - 即使黑客获取密码也无法完成登录 - 比单一密码验证更高级别的安全保障 ### 1.3 常见2FA类型比较 | 类型 | 实现方式 | 优

2025-08-17 15:21:19

AI in WAF︱腾讯云网站管家 WAF：爬虫 Bot 程序管理方案

# 腾讯云网站管家WAF：AI驱动的爬虫/Bot程序管理方案 ## 一、恶意爬虫Bot程序带来的业务风险 ### 1.1 行业现状 - 恶意爬虫Bot程序广泛分布于：出行、社交、电商、O2O、公共行政、运营商、自媒体、地图、新闻等行业 - 互联网恶意流量中恶意爬虫占比高达23.46%（腾讯安全云鼎实验室2018年数据） ### 1.2 主要风险类型 1. **信息泄露风险** - 商品数据、订单数据、用户数据等被恶意抓取 - 典型案例：某大型生活服务类站点简历数据泄露 2.

2025-08-17 15:20:25

跳转到页