爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

“360代码卫士”协助 Oracle 公司修复多个 WebLogic 漏洞，获官方致谢

# Oracle WebLogic Server 漏洞分析与修复指南 ## 1. 漏洞背景 360企业安全集团代码卫士团队发现并报告了Oracle WebLogic Server中的多个安全漏洞(CVE-2019-2398, CVE-2019-2452)。这些漏洞影响多个WebLogic大版本(10.3.6.0、12.1.3.0、12.2.1.3等)，由于系统在对文件操作校验存在缺陷，攻击者在特定条件下可实现远程代码执行。 ## 2. 漏洞详情 ### CVE-2019-2398 - *

2025-08-17 06:29:26

利用分块传输吊打所有WAF

# HTTP分块传输绕过WAF技术详解 ## 1. 分块传输基础分块传输编码(Chunked Transfer Coding)是HTTP/1.1协议中定义的一种传输机制，允许服务器将数据分成一系列块发送，每个块都有自己的大小指示器。 ### 1.1 分块传输格式规范根据RFC7230规范，分块传输的基本格式如下： ``` chunked-body = *chunk last-chunk trailer-part CRLF chunk = chunk-size [ chunk-ext

2025-08-17 06:28:33

色情勒索病毒和信息窃取木马的新套路

# 新型色情勒索病毒与信息窃取木马攻击分析及防御指南 ## 一、攻击概述近期网络安全研究人员发现了一种结合色情勒索邮件、信息窃取木马和勒索软件的高级复合型攻击手段。攻击者通过精心设计的心理战术，诱骗受害者下载并执行恶意软件，造成严重后果。 ## 二、攻击流程详解 ### 1. 初始攻击阶段 - **攻击媒介**：精心设计的色情勒索邮件 - **社会工程学手段**： - 声称已入侵受害者电脑并录制了浏览色情网站的视频 - 附带受害者的真实用户名和密码（从历史数据泄露中获取）

2025-08-17 06:27:50

一文带你了解CISACISMCISSP认证的区别

# CISSP、CISA、CISM认证全面解析 ## 1. 认证概述 ### 1.1 CISA (国际注册信息系统审计师) - **全称**: Certified Information System Auditor - **颁发机构**: 国际信息系统审计和控制协会(ISACA) - **起始年份**: 1978年 - **定位**: 信息系统审计、控制与安全领域的全球公认标准 - **中国现状**: 持证人在信息安全与控制领域发挥重要作用，企业认可度日益提高 ### 1.2 CISSP

2025-08-17 06:27:11

详细讲解 | 利用python开发Burp Suite插件（二）

# 利用Python开发Burp Suite插件(二) - SQL注入检测插件开发指南 ## 前言本教程是Burp Suite插件开发系列的第二部分，将详细介绍如何使用Python开发一个简单的SQL注入检测插件。该插件会在每个参数后面添加单引号，用于检测SQL注入漏洞。我们将逐步讲解每个开发步骤和关键API的使用方法。 ## 开发环境准备在开始之前，请确保已完成以下准备工作： 1. 已安装Java运行环境(JRE) 2. 已安装Burp Suite(免费版或专业版) 3. 已配置J

2025-08-17 06:26:34

Web应用渗透实验策略与方法论研究

# Web应用渗透实验策略与方法论教学文档 ## 一、Web应用安全测试概述 Web应用安全测试是确保Web应用程序存储的敏感数据能够实现受限访问并只允许特定用户操作的关键过程。测试范围广泛，涉及多个阶段，是一个系统化的操作流程。 ## 二、Web应用安全测试类型 ### 1. 功能测试 - 测试Web应用程序中的每一个实际功能 - 验证功能是否完全按照规范运行 - 测试内容包括： - 所有页面超链接 - 数据库链接 - 表单链接 - 收集并上传用户数据的表单元素 ##

2025-08-17 06:25:41

专注Web及移动安全[红日安全69期]

抱歉，无法读取该文件。请更新其他文件，我可以为你进行总结。

2025-08-17 06:15:02

ThinkPHP request函数远程代码执行

# ThinkPHP request函数远程代码执行漏洞分析 ## 漏洞概述 2019年1月11日爆出的ThinkPHP 5.0.*版本中存在一个远程代码执行(RCE)漏洞，该漏洞源于Request类中的方法处理不当，攻击者可以通过精心构造的请求实现任意代码执行。 ## 漏洞分析 ### 漏洞触发点漏洞核心位于`library/think/Request.php`文件中的`method`函数，修复点在该函数中。相关调用出现在`isGet`、`isPost`、`isPut`、`isDe

2025-08-17 06:14:44

“360代码卫士”帮助以太坊公链发现远程 DoS 漏洞，获官方致谢

# 以太坊Geth客户端远程DoS漏洞(CVE-2018-13432)分析报告 ## 漏洞概述 CVE-2018-13432是一个存在于以太坊官方客户端Geth(Go-ethereum)中的远程拒绝服务(DoS)漏洞，由360代码卫士团队发现并报告。该漏洞影响Geth的虚拟机模块，通过精心构造的RPC调用可导致节点崩溃。 ## 技术细节 ### 漏洞成因该漏洞由两个关键因素共同导致： 1. **虚拟机内存分配检查不严格**：Geth虚拟机模块在分配内存时未进行严格的边界检查（如图1

2025-08-17 06:13:59

【缺陷周话】第19期：LDAP 注入

# LDAP注入漏洞分析与防御指南 ## 1. LDAP基础概念 **LDAP**(Light Directory Access Protocol)是基于X.500标准的轻量级目录访问协议，提供访问目录数据库方法的服务和协议，常用于与目录数据库组成目录服务。目录服务的特点： - 为查询、浏览和搜索而优化的专业分布式数据库 - 呈树状结构组织数据，类似于Linux/Unix系统中的文件目录 - 适合存储修改不频繁的数据，如公用证书、安全密钥、公司物理设备信息等可以将LDAP理解为一种搜

2025-08-17 06:13:09

SecWiki周刊（第255期）

# 网络安全技术周刊深度解析与教学指南 ## 一、安全资讯与行业动态 ### 1.1 网络安全行业全景图(2019年1月) - 行业分类：包括端点安全、网络安全、应用安全、数据安全、身份认证、安全管理等 - 新兴领域：云安全、工控安全、移动安全、威胁情报等 - 技术趋势：AI安全、自动化防御、零信任架构初现端倪 ### 1.2 军事网络安全发展 - 美海军网络战预备役部队组建 - 任务：网络防御、网络情报收集、网络攻击能力 - 人员构成：民间网络安全专家兼职服役 - 意义：军民

2025-08-17 06:12:18

分享一种python实现Android远程控制技术原理

# Python实现Android远程控制技术原理详解 ## 一、技术概述本文介绍了一种基于Python实现的Android远程控制技术方案，该方案通过将Python运行环境集成到Android应用中，利用Python的灵活性和RPC机制实现远程控制功能。该技术可应用于游戏开发、软件调试等领域，能够显著降低软件开发成本。 ## 二、技术实现原理 ### 1. 构建Python运行环境 1. **NDK交叉编译Python** - 使用Android NDK工具链交叉编译Pyth

2025-08-17 06:11:03

跳转到页