爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

奇安信代码卫士帮助Oracle修复高危漏洞，获官方致谢

# Oracle VM VirtualBox 拒绝服务漏洞 (CVE-2020-2959) 技术分析与防护指南 ## 漏洞概述 **CVE编号**: CVE-2020-2959 **漏洞类型**: 拒绝服务(DoS)漏洞 **CVSS v3评分**: 8.6 (高危) **影响产品**: Oracle VM VirtualBox **发现者**: 奇安信代码安全实验室 **致谢日期**: 2020年4月15日 ## 受影响版本 - Oracle VM Virtua

2025-08-15 19:42:16

奇安信代码卫士帮助微软修复多个高危漏洞，获官方致谢和奖金

# 奇安信代码卫士帮助微软修复高危漏洞技术分析报告 ## 漏洞概述奇安信代码安全实验室研究员为微软发现了五个高危漏洞，其中包含一个"严重"级别和四个"重要"级别漏洞： ### 1. CVE-2020-0938 - Adobe Font Manager Library 远程代码执行漏洞（严重级别） - **漏洞性质**：Windows Adobe Font Manager Library 不正确地处理特殊构造的多主字体 Adobe Type 1 PostScript 格式 - **影响范围

2025-08-15 19:41:38

Github中间人攻击原理分析

# GitHub中间人攻击原理分析：BGP劫持与HTTPS安全机制详解 ## 一、事件背景 2020年3月26日，中国多个地区用户访问GitHub及GitHub Pages时，谷歌浏览器出现"您的连接不是私密连接"错误提示。经分析，这是由于BGP劫持导致用户被引导至错误的GitHub服务器。 ## 二、HTTPS安全机制基础 ### 1. HTTPS连接建立过程 GitHub强制使用HTTPS加密连接（通过HTTP头部`Strict-Transport-Security: max-ag

2025-08-15 19:30:43

Unicode同形字符域漏洞

# Unicode同形字符域漏洞详解与防御指南 ## 一、漏洞概述 Unicode同形字符域漏洞是指攻击者利用Unicode字符集中外观相似但编码不同的字符（称为"同形异义字符"或"同形字符"）注册与合法域名极其相似的域名，用于实施网络钓鱼和社会工程学攻击。 ### 1.1 漏洞背景 - 该技术并非全新，但之前主要关注混合字符（如拉丁与西里尔字母混用） - 新发现：Unicode Latin IPA Extension字符集中的同形字符可绕过现有防护机制 - 从2017年至2020年，已有

2025-08-15 19:30:09

Web Application核心防御机制记要

# Web应用程序核心防御机制详解 ## 1. 核心安全原则 **核心安全原则**：所有用户输入皆不可信。这是Web应用程序安全的基础理念，也是所有防御机制的出发点。 ## 2. 核心防御机制组成 Web应用程序的安全机制由以下四个方面组成： 1. **处理用户访问**：防止未授权访问 2. **处理用户输入**：防止构造恶意数据 3. **应对攻击**： - 处理预料外的报错 - 自动阻止明显的攻击 - 自动向管理员发送警报 - 维护程序的访问日志 4. **

2025-08-15 19:29:11

某门户系统授权渗透测试

# SiteServer CMS 渗透测试实战教学文档 ## 1. 目标系统概述目标系统使用 SiteServer CMS 进行改版开发，版本为 6.X（通过 version.txt 确认）。SiteServer 是一款基于 ASP.NET 的内容管理系统，存在已知的安全漏洞。 ## 2. 信息收集阶段 ### 2.1 基础信息收集 - 通过域名获取 IP 地址 - 使用 nmap 进行端口扫描，发现开放端口： - 21 (FTP) - 3389 (RDP) - 尝试爆破 FT

2025-08-15 19:28:11

SecWiki周刊（第320期）

# 网络安全技术周刊深度解析与教学指南 ## 一、公民个人信息保护典型案例分析公安部公布的十起侵犯公民个人信息案件揭示了当前主要威胁： - 案件类型：包括非法获取、出售、提供公民个人信息等多种形式 - 数据来源：多涉及行业"内鬼"、黑客攻击、APP过度采集等 - 防护要点：企业需建立完善的数据访问控制机制，实施最小权限原则 ## 二、渗透测试技术深度解析 ### 2.1 内网横向渗透技术 **单机信息收集流程**： 1. 系统信息：`systeminfo`、`whoami /all`

2025-08-15 19:27:36

GitHub披露6个Chrome浏览器漏洞详情

# Chrome浏览器WebAudio组件漏洞技术分析报告 ## 漏洞概述 GitHub安全实验室研究员Man Yue Mo在2020年2月和3月期间发现了6个存在于Chrome浏览器WebAudio组件中的高危漏洞。这些漏洞都属于"释放后重用"(Use-After-Free)类型，已被谷歌在Chrome 80版本中修复。 ## 漏洞技术细节 ### 漏洞基本信息 | CVE编号 | 报告时间 | 影响组件 | 漏洞类型 | 修复版本 | |---------|----------|-

2025-08-15 19:26:34

思科修复IP Phone和UCS Director中的超危漏洞

# 思科产品超危漏洞分析与修复指南 ## 一、IP Phone超危漏洞(CVE-2020-3161) ### 漏洞概述 - **CVSS评分**: 9.8 (超危) - **影响组件**: IP Phone的web服务器 - **漏洞类型**: 基于栈的缓冲区溢出 - **攻击方式**: 远程、未经身份认证的攻击者可利用该漏洞以root权限执行任意代码 ### 技术细节漏洞存在于`libHTTPService.so`库中，具体路径为`/deviceconfig/setActivation

2025-08-15 19:25:56

挖洞经验 | HackerOne用户头像名称变化导致的DoS漏洞

# HackerOne用户头像名称变化导致的DoS漏洞分析 ## 漏洞概述该漏洞存在于HackerOne平台的用户头像上传功能中，由于未对头像图片文件名设置适当的字符长度限制，攻击者可以构造超长文件名导致平台某些页面出现拒绝服务(DoS)问题。该漏洞最终获得了HackerOne平台2,500美元的奖励。 ## 漏洞发现过程 1. **初始观察**：在注册HackerOne用户时，发现头像图片默认文件名为`unnamed.jpg`，且未对文件名长度进行限制 2. **初步测试**：尝试

2025-08-15 19:25:05

Spring Boot Actuator 漏洞利用

# Spring Boot Actuator 漏洞利用全面指南 ## 1. 漏洞概述 Spring Boot Actuator 是 Spring Boot 提供的服务监控和管理中间件。当应用程序运行时，它会自动将多个端点注册到路由进程中。由于对这些端点的错误配置，可能导致系统信息泄露、XXE 甚至 RCE 等安全问题。 ## 2. 漏洞发现 ### 2.1 识别 Spring Boot 应用 1. **网站图标**：通常是一个绿色的树叶 2. **特有报错信息**：Spring Boo

2025-08-15 19:24:28

利用Nginx实现反向代理web服务器

# 利用Nginx实现反向代理Web服务器 - 详细教学文档 ## 一、Nginx简介 Nginx是一个高性能的Web服务器和反向代理服务器，具有以下优越特性： 1. **高并发连接**：能够处理大量并发连接 2. **低内存消耗**：相比同类产品内存使用更高效 3. **低成本**：开源免费，部署成本低 4. **简单配置**：配置文件结构清晰易懂 5. **Rewrite支持**：支持URL重写功能 6. **健康检查**：内置服务器健康检查机制 7. **带宽优化**：有效节省带宽资

2025-08-15 19:23:14

跳转到页