爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

专注Web及移动安全[红日安全95期]

# Web及移动安全综合教学文档 ## 一、Web安全专题 ### 1.1 PHP反序列化漏洞 - **漏洞原理**：PHP反序列化过程中，当用户可控数据被反序列化时，可能触发对象中的魔术方法(__wakeup, __destruct等)，导致代码执行 - **利用技巧**： - 利用__destruct方法进行文件删除或写入 - 通过__toString方法触发其他危险操作 - 利用POP(Property-Oriented Programming)链构造复杂利用 - **防御

2025-08-16 13:04:12

短网址安全浅谈

# 短网址安全教学文档 ## 一、短网址基础概念 ### 1.1 定义短网址(Short URL)是指形式上比原始网址更短的网址，主要用于替代冗长的原始网址，方便传输和分享。 ### 1.2 工作原理 1. 用户提交长网址到短网址服务 2. 服务端通过算法将长网址转换为短网址 3. 将长短网址对应关系存储到数据库 4. 用户访问短网址时，服务端返回302/301重定向到原始长网址 ## 二、短网址生成算法 ### 2.1 进制算法 - **原理**：基于数字和字母(62个字符)的任意

2025-08-16 13:02:18

利用XSS漏洞获取对方cookie（测试通过20190908）

# XSS漏洞利用：获取对方Cookie的完整指南 ## 1. 环境准备 ### 1.1 所需系统及IP配置 - **攻击机**：Kali Linux (192.168.80.136) - **目标机1**：Windows 7 (192.168.80.130) - **目标机2**：Metasploitable (192.168.80.129) - 运行DVWA(Damn Vulnerable Web Application) ### 1.2 工具准备 - Web服务器(Apache/Ng

2025-08-16 13:01:39

挖洞经验 | 通过购物车参数篡改实现低价免费购买商品

# 参数篡改漏洞(Parameter Tampering)实战教学文档 ## 漏洞概述参数篡改(Parameter Tampering)是一种通过修改Web应用交互中传输的参数数据来实现攻击的技术。攻击者可以操纵cookies、请求参数、隐藏表单字段或URL查询字符串中的数据，如用户凭证、权限、产品价格、数量等，从而非法获取利益或深入攻击系统。 ## 漏洞原理在电子商务网站中，常见的参数篡改漏洞表现为： 1. 服务器未对客户端提交的参数进行充分验证 2. 业务逻辑存在缺陷，允许异常值

2025-08-16 13:01:05

梦里参加攻防演习活动的过程分享（上）

# 网络安全攻防演习实战教学文档 ## 1. 演习概述网络安全攻防演练（红蓝对抗）已成为国家网络安全建设的重要组成部分，具有以下特点： - 高强度对抗：通常持续数天至数周，每天8-10小时 - 规模不断扩大：从国家级到地方级逐步推广 - 严格规则约束：对攻击手段、范围和影响有明确限制 ## 2. 演习准备 ### 2.1 基础环境配置 - 硬件准备：笔记本电脑（建议性能足够）、电源适配器 - 网络配置：3根网线、1个插排 - 软件准备： - 虚拟机环境（如大龙虚拟机） - 常用

2025-08-16 12:50:29

【缺陷周话】第51期：死代码

# 死代码缺陷分析与防范指南 ## 1. 死代码定义与概念死代码(Dead Code)是指程序中存在但永远不会被执行的代码片段。根据CWE-561标准定义，死代码是程序中那些由于逻辑设计或编码错误导致永远无法到达的代码部分。死代码通常不会直接导致严重的安全漏洞，但它表明程序中可能存在逻辑错误，可能影响程序的预期行为，并可能隐藏更深层次的问题。 ## 2. 死代码的危害虽然死代码本身不直接构成安全威胁，但它会带来多方面的问题： 1. **维护困难**：增加了代码的复杂性和维护成本

2025-08-16 12:49:31

SecWiki周刊（第288期）

# 网络安全技术周刊（第288期）教学文档 ## 一、安全资讯 ### 2019年上半年上市网络安全公司经营简报 - 分析国内主要网络安全上市公司（如启明星辰、绿盟科技等）的财务表现 - 重点关注：营收增长率、净利润、研发投入占比、主营业务构成 - 行业趋势：云安全、大数据安全、态势感知等新兴领域增长显著 ## 二、安全技术 ### 1. 端对端加密的微信聊天插件 - 实现原理：基于Signal协议或PGP的加密方案 - 技术要点： - 消息在客户端加密，服务器只存储密文 - 密

2025-08-16 12:48:46

挖洞经验 | 谷歌peering.google.com中的本地文件包含（LFI）漏洞

# 谷歌peering.google.com本地文件包含(LFI)漏洞分析报告 ## 漏洞概述本地文件包含(LFI)漏洞存在于谷歌的`peering.google.com`域名下，该网站属于Google Edge network（谷歌分布式服务器网络）。通过精心构造的URL，攻击者可以读取服务器上的敏感系统文件，获取服务器配置、运行状态等关键信息。 ## 漏洞危害 - 信息泄露：可获取服务器配置文件、系统版本、进程信息等 - 辅助渗透：为后续攻击提供有价值的信息 - 潜在DoS攻击辅助

2025-08-16 12:47:22

HTTP被动扫描代理的那些事

# HTTP被动扫描代理技术详解 ## 1. HTTP代理基础概念 HTTP代理是一种中间人(MITM)技术，用于截获、修改和转发HTTP/HTTPS请求。安全测试工具如Burp Suite就是通过配置HTTP代理来实现请求拦截。 ### 1.1 代理环境变量 - `HTTP_PROXY`：用于HTTP请求的代理设置 - `HTTPS_PROXY`：用于HTTPS请求的代理设置 - 环境变量值格式： - `http://127.0.0.1:7777` - `https://127

2025-08-16 12:46:46

偷懒分享一个多图报告

# HackerOne《2019年黑客驱动安全报告》深度解析与教学指南 ## 报告概述 HackerOne发布的《2019年黑客驱动安全报告》全面展示了全球漏洞赏金平台的发展现状和趋势。本教学文档将系统性地解析报告核心内容，帮助安全从业者、企业安全负责人和漏洞猎人深入理解黑客驱动安全生态。 ## 1. 漏洞赏金市场概况 ### 1.1 行业增长数据 - **平台规模**：HackerOne已注册黑客超过30万名 - **漏洞提交**：累计提交有效漏洞超过10万个 - **奖金支付**：总

2025-08-16 12:45:41

代码审计之fortify工具篇

# Fortify工具在代码审计中的应用与实践 ## 一、前期准备 1. **目标系统获取** - 从官网下载目标CMS系统（文中未明确具体系统） - 安装过程分析（可选）：许多系统会删除安装包，可研究安装过程中的潜在漏洞 2. **系统架构分析** - 入口文件`index.php`定义了`NoDb`常量 - 加载全局配置文件`config.php` - 根据`NoDb`值决定是否初始化数据库 3. **安全机制分析** - `_stripslash

2025-08-16 12:44:40

攻击溯源护航数字电力

# 电力行业网络安全攻击溯源技术教学文档 ## 一、数字电力峰会背景 2019年9月7-8日，"2019数字电力峰会暨电力行业信息化年会"在江苏无锡召开，作为"2019世界物联网博览会"的重点活动之一。会议主题为"生态互联数字电力"，主要探讨在"大云物移智链"等新技术推动下，电力泛在物联网、云网融合和网络安全等方面面临的机遇与挑战。 ### 主要参与单位 - 主办方：中国电机工程学会电力信息化专业委员会、无锡市人民政府、国网江苏省电力有限公司、国家电网有限公司信息通信分公司 - 参与单位

2025-08-16 12:44:04

跳转到页