爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

IKEA.com本地文件包含漏洞之PDF解析的巧妙利用

# PDF解析中的本地文件包含漏洞分析与利用 ## 漏洞背景本地文件包含(LFI)漏洞是一种高危漏洞类型，攻击者可能利用其： - 读取服务器文件源码或敏感信息 - 包含恶意文件 - 执行任意代码 - 最终可能导致服务器被完全控制大多数LFI攻击源于动态加载图像或其他文件的代码，当请求的文件名或路径未经过正确验证时就会发生。 ## 漏洞发现过程 ### 目标识别 1. 使用Aquatone工具枚举子域，发现`Bathroomplanner.IKEA.com`子域 2. 该子域提供在

2025-08-17 11:03:07

无字母数字Webshell之提高篇

# 无字母数字Webshell高级利用技术 ## 一、问题背景给定PHP代码限制条件： ```php 35){ die("Long."); } if(preg_match("/[A-Za-z0-9_$]+/",$code)){ die("NO."); } eval($code); }else{ highlight_file(__FILE__); } ``` 限制条件： 1. 代码长度不超过35个字符 2. 不能包含字

2025-08-17 11:02:33

SecWiki周刊（第241期）

# 网络安全技术周刊(SecWiki 241期)深度解析 ## 一、安全资讯与新闻 ### 1.1 内部威胁防范 - **焦点访谈案例**：2018年央视报道的信息安全专题，强调"防内鬼、防黑客"双重防护策略 - **华夏银行技术案件**：技术处长利用职务便利编写病毒植入银行系统，盗窃700余万元，暴露内部权限管控漏洞 ## 二、安全技术专题 ### 2.1 数据挖掘与分析 - **吾爱破解论坛源码**：分析爱盘系统的架构设计与实现 - **DREAD模型应用**：漏洞风险评估量化方法，

2025-08-17 11:01:55

新型鼠标光标劫持攻击将允许攻击者劫持GoogleChrome会话

# 新型鼠标光标劫持攻击技术分析及防御指南 ## 攻击概述研究人员发现了一种新型的技术支持诈骗技术，能够劫持Google Chrome用户的浏览会话。这种攻击被称为"恶意光标"技术，主要针对Chrome浏览器版本69.0.3497.81。 ## 攻击技术细节 ### 技术支持诈骗背景 - 攻击者常利用微软Windows技术支持站点作为诈骗工具 - 常见传播途径：搜索引擎感染和恶意广告攻击 - 浏览器锁定技术是关键组成部分 ### 恶意光标技术特点 1. **会话劫持机制**：

2025-08-17 11:00:24

我是如何绕过Uber的CSP防御成功XSS的？

# 绕过Uber的CSP防御实现XSS攻击的技术分析 ## 漏洞背景本案例研究了一个在Uber合作伙伴子域(partners.uber.com)上发现的XSS漏洞，攻击者成功绕过了严格的内容安全策略(CSP)防御机制。 ## 初始发现 ### 开放重定向的起点 - 最初发现的可疑URL：`https://partners.uber.com/carrier-discounts/att/redirect?href=http://www.wireless.att.com/` - 确认存在开放

2025-08-17 10:59:52

挖洞经验 | 看我如何在短时间内对Shopify五万多个子域名进行劫持

# Shopify子域名劫持漏洞分析与利用指南 ## 一、漏洞概述 Shopify子域名劫持漏洞是一种由于DNS配置不当导致的攻击面，攻击者可以接管未正确配置的Shopify子域名。该漏洞主要存在于两种场景： 1. **网页应用名称映射**：当子域名指向`myshopname.myshopify.com`且商店名称未被注册时 2. **DNS映射**：当子域名指向`shops.myshopify.com`时 ## 二、漏洞检测方法 ### 1. 识别潜在漏洞目标检测目标网站是否存在

2025-08-17 10:59:06

Cookie篡改与命令注入

# Cookie篡改与命令注入技术详解 ## 1. 概述本文详细讲解在Ruby/Rack框架环境中利用Cookie篡改进行权限提升，以及后续的命令注入攻击技术。这两种技术结合使用可以构成完整的攻击链，从普通用户权限提升到管理员权限，最终获取服务器控制权。 ## 2. 环境准备 ### 2.1 测试环境搭建 - 下载测试环境：https://pentesterlab.com/exercises/rack_cookies_and_commands_injection - 环境特点：基于Ru

2025-08-17 10:58:12

什么是云计算？如何进行云计算安全知多少？

# 云计算及其安全实践全面指南 ## 一、云计算基础概述云计算是一种按需提供计算资源（包括服务器、存储、数据库、网络、软件等）的服务模式，用户可以通过互联网按需获取这些资源，而无需自行购买和维护物理硬件设备。 ### 云基础架构和资源云计算架构通常包括以下服务模型： - **IaaS** (基础设施即服务)：提供基础计算资源如虚拟机、存储和网络 - **PaaS** (平台即服务)：提供开发环境和工具，简化应用程序开发部署 - **SaaS** (软件即服务)：提供可直接使用的应用程

2025-08-17 10:57:00

专注Web及移动安全[红日安全59期]V1.0

# 红日安全59期 - Web及移动安全综合教学文档 ## 一、安全动态专题 ### 1.1 应急响应流程 #### Windows应急响应 - 流程步骤： 1. 系统信息收集（网络连接、进程、服务、用户账户） 2. 日志分析（事件查看器、安全日志、系统日志） 3. 恶意文件检测（MD5校验、数字签名验证） 4. 内存取证（使用Volatility等工具） 5. 后门检测（启动项、计划任务、WMI持久化） #### Linux应急响应 - 关键检查点： - 检查异常

2025-08-17 10:55:55

挖洞经验 | 价值3133.7美金的谷歌（Google）存储型XSS漏洞

# 谷歌存储型XSS漏洞挖掘与分析教学文档 ## 漏洞概述本教学文档基于2018年发现的Google AdWords平台存储型XSS漏洞案例，该漏洞价值3133.7美金。这是一个典型的存储型跨站脚本攻击(Stored XSS)漏洞，攻击者能够将恶意脚本永久存储在目标服务器上，当其他用户访问受影响页面时，脚本会自动执行。 ## 漏洞发现过程详解 ### 1. 目标选择 - **目标平台**：Google AdWords（谷歌广告服务产品） - **选择原因**： - 谷歌产品安全标

2025-08-17 10:54:41

前端安全系列（二）：如何防止CSRF攻击？

# 防止CSRF攻击的全面指南 ## 1. CSRF攻击概述 CSRF(Cross-site request forgery)跨站请求伪造是一种网络攻击方式，攻击者诱导受害者进入第三方网站，在第三方网站中向被攻击网站发送跨站请求，利用受害者在被攻击网站已经获取的注册凭证，绕过后台的用户验证，达到冒充用户执行操作的目的。 ### 典型攻击流程 1. 受害者登录a.com，并保留了登录凭证(Cookie) 2. 攻击者引诱受害者访问了b.com 3. b.com向a.com发送请求：a.com

2025-08-17 10:43:42

2017年十大Web黑客技术榜单

# 2017年十大Web黑客技术深度解析 ## 1. SSRF漏洞利用新纪元 (A New Era of SSRF) **技术核心**：Orange Tsai提出的创新性SSRF(服务器端请求伪造)绕过技术 **关键突破点**： - 通过多漏洞串联构造复杂利用链 - 绕过传统SSRF防御机制 - 利用URL解析差异和协议处理漏洞 **防御建议**： - 实施严格的输入验证和过滤 - 禁用不必要的URL协议处理 - 使用网络层隔离限制服务器出站连接 ## 2. Web缓存欺骗攻击 (We

2025-08-17 10:42:47

跳转到页