爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

SQL注入：自我小结

# SQL注入全面教学文档 ## 0x00 SQL注入概述 SQL注入是一种通过输入恶意SQL语句来修改后台数据库操作语句的攻击技术，攻击者可以执行增删改查(CRUD)操作，甚至进行数据库提权。 ## 0x01 SQL注入的危害 1. **猜解后台数据库**：盗取网站敏感信息 2. **绕过验证**：使用万能密码如`' or '1'='1' #`绕过登录验证 3. **数据库提权**：借助数据库存储过程进行提权 4. **植入木马**：向服务器上传恶意文件 5. **DoS攻击**：造成

2025-08-15 10:44:32

ScanT3r：一款功能强大的Web安全扫描工具

# ScanT3r Web安全扫描工具使用指南 ## 工具概述 ScanT3r是一款功能强大的Web安全扫描工具，支持检测多种Web安全漏洞，包括： - 远程代码执行漏洞（Linux） - 反射型XSS漏洞 - 模板注入漏洞（Jinja2、ERB、Java、Twig、Freemarker） - SQL注入漏洞支持平台： - Linux - Android - Windows ## 安装要求 **Python环境要求**：仅支持Python > 3.6环境 ### Linux安装步骤

2025-08-15 10:43:29

“失控”的 IPv6：观察 IPv6 网络环境安全现状

# IPv6网络安全现状与防护教学文档 ## 1. IPv6基础概述 ### 1.1 IPv6定义与特点 - **全称**：Internet Protocol version 6（互联网协议第6版） - **发布机构**：国际互联网工程任务组(IETF)于1998年12月发布 - **主要改进**： - 地址空间扩展：从IPv4的32位扩展到128位 - 网络层通信机制优化 - 报文处理性能与安全性提升 ### 1.2 IPv6地址空间优势 - 支持超过3.4×10³⁸个独立设

2025-08-15 10:42:37

AuthMatrix：一款针对Web应用和服务的认证安全检测BurpSuite工具

# AuthMatrix 使用教学文档 ## 一、AuthMatrix 简介 AuthMatrix 是一款针对 Burp Suite 工具的插件，专门用于测试 Web 应用程序和 Web 服务的认证机制安全。它通过可视化的矩阵界面帮助安全测试人员： - 集中管理不同角色的用户账户 - 快速配置和发送认证测试请求 - 直观显示测试结果（漏洞标记） - 支持多种认证方式测试（Cookie、Header等） ## 二、安装指南 ### 1. 推荐安装方法（通过 BApp Store） 1.

2025-08-15 10:41:49

Wordpress(CVE-2019-17671)未授权访问漏洞复现

# WordPress CVE-2019-17671 未授权访问漏洞复现与分析 ## 1. 漏洞概述 **CVE编号**: CVE-2019-17671 **漏洞类型**: 未授权访问漏洞 **影响范围**: WordPress <= 5.2.3 **漏洞描述**: 由于程序没有正确处理静态查询，攻击者可利用该漏洞未经认证查看部分私密内容。 ## 2. 受影响环境 - **操作系统**: 任意支持WordPress的系统（文中示例使用Windows2008 R2） - **W

2025-08-15 10:41:02

ThinkCMF框架任意内容包含漏洞分析复现

# ThinkCMF框架任意内容包含漏洞分析与复现 ## 0x01 ThinkCMF框架简介 ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架，底层采用ThinkPHP3.2.3构建。其主要特点包括： - 采用灵活的应用机制 - 框架提供基础管理功能 - 开发者可通过应用形式进行扩展 - 应用间可独立工作或通过系统协同 ## 0x02 漏洞概述 **漏洞类型**：远程代码执行漏洞（无需任何权限） **漏洞成因**：由于对用户输入参数处理不当，导致攻击者可以： 1. 通

2025-08-15 10:40:23

SSTI-Payloads：一套针对服务器端模板注入技术的Payload集

# 服务器端模板注入(SSTI)攻击全面指南 ## 1. SSTI基本概念 **服务器端模板注入**(Server-Side Template Injection, SSTI)是一种攻击技术，攻击者能够使用模板引擎的原生语法将恶意Payload注入到模板中，在服务器端执行。 ### 1.1 模板引擎工作原理模板引擎将固定模板与动态数据结合生成网页。当用户输入直接与模板内容连接(而非作为数据参数传入)时，就可能发生SSTI攻击。 ### 1.2 攻击原理攻击者注入任意模板指令操纵模板引

2025-08-15 10:29:48

潜藏在PHP安全的边缘：浅谈PHP反序列化漏洞

# PHP反序列化漏洞详解 ## 0x00 前言 PHP反序列化漏洞（又称PHP对象注入）是一种常见的安全漏洞，攻击者通过操纵序列化数据来执行恶意代码或获取未授权访问。本文将全面解析PHP反序列化漏洞的原理、利用方式及防御措施。 ## 0x01 序列化与反序列化基础 ### 序列化概念序列化是将对象转换为可存储或传输的字符串格式的过程。在PHP中，使用`serialize()`函数实现序列化。 ### 反序列化概念反序列化是将序列化后的字符串还原为原始对象的过程，使用`unse

2025-08-15 10:28:57

如何绕过XSS防护

# 跨站脚本(XSS)攻击绕过技术全面指南 ## XSS攻击基础原理 XSS(跨站脚本)攻击是指攻击者向有漏洞的网站注入恶意HTML/JavaScript代码，当用户浏览该页面时，这些代码会自动执行，从而达到攻击目的。 ### XSS攻击类型 1. **反射型XSS**：恶意脚本作为请求的一部分发送到服务器，服务器未过滤直接返回给客户端执行 2. **存储型XSS**：恶意脚本被永久存储在目标服务器上，每次用户访问都会执行 3. **DOM型XSS**：通过修改页面的DOM环境在客户端直

2025-08-15 10:27:53

XSS Game分析以及知识点总结

# XSS攻击绕过技巧详解 ## 1. 基础XSS注入 ### 1.1 无过滤直接注入 **场景**：当没有任何过滤时，可以直接注入XSS payload。 **示例**： ```html spaghet.innerHTML = (new URL(location).searchParams.get('somebody') || "Somebody") + " Toucha Ma Spaghet!" ``` **解决方案**： ```javascript ``` **原理

2025-08-15 10:26:47

Behave!：一款针对页面活动的浏览器监控插件

# Behave! 浏览器监控插件教学文档 ## 1. 概述 Behave! 是一款针对浏览器页面活动的监控插件，主要用于检测和防范Web页面中的可疑行为。该工具由MindedSecurity开发，目前仍处于开发阶段。 ## 2. 主要功能 ### 2.1 浏览器端口扫描活动监控 - 检测Web页面尝试访问特定IP地址范围的行为 - 监控以下IP地址的访问尝试： - IPv4本地回环地址：127.0.0.1/8 - IPv6本地回环地址：::1/128 - IPv4私有地址：

2025-08-15 10:25:15

渗透测试之Python基础与进阶

# Python渗透测试基础与进阶教程 ## 0x00 Python学习基础 ### 1. 学习方法 - **项目式学习**：通过实际练习具象化Python语法和概念 - **编程思维训练**：官方文档是最佳学习资源 - **利用help功能**：在IDLE中使用`dir()`和`help()`查询库的使用方法 ### 2. Python的优缺点 **优点**： - 简单易学，上手快 - 丰富的库资源 - 可扩展、可嵌入C语言 - 免费开源、可移植 - 解释性语言（无需编译） - 面向对象

2025-08-15 10:24:45

跳转到页