爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

CVE-2024-3116 PgAdmin8.4代码执行漏洞

# CVE-2024-3116 PgAdmin 8.4 远程代码执行漏洞分析与利用 ## 漏洞概述 CVE-2024-3116 是 pgAdmin 4 在 8.4 版本之前存在的一个远程代码执行漏洞。该漏洞允许已认证的攻击者在 Windows 平台上通过构造恶意请求在目标系统上执行任意代码。 ## 受影响版本 - pgAdmin 4 8.4 及之前版本 - 仅影响 Windows 平台 ## 漏洞原理 ### 漏洞组件漏洞主要涉及两个关键接口： 1. `/validate_bi

2025-08-23 08:49:56

QVD-2024-15263 禅道项目管理系统身份认证绕过漏洞

该文档没有简介

2025-08-23 08:48:33

QVD-2024-15263 禅道项目管理系统身份认证绕过漏洞

# 禅道项目管理系统身份认证绕过漏洞(QVD-2024-15263)分析及利用教学 ## 漏洞概述禅道项目管理系统存在身份认证绕过漏洞，远程攻击者可以利用该漏洞绕过身份认证，调用任意API接口并修改管理员用户的密码，最终实现系统接管。 ### 受影响版本 - **开源版**: 16.x <= 禅道 < 18.12 - **企业版**: 6.x <= 禅道 < 8.12 - **旗舰版**: 3.x <= 禅道 < 4.12 ## 漏洞原理分析 ### 关键代码路径 1. `zenta

2025-08-23 08:48:33

【翻译】EDR的黑暗面：将EDR作为攻击工具的再利用

该文档没有简介

2025-08-23 08:48:01

【翻译】EDR的黑暗面：将EDR作为攻击工具的再利用

# EDR的黑暗面：将EDR作为攻击工具的再利用 ## 概述本教学文档详细介绍了如何利用端点检测和响应(EDR)系统自身的特性和漏洞，将其转变为攻击工具的技术方法。研究聚焦于Palo Alto Networks Cortex XDR平台，展示了多种绕过其安全机制的方法，包括勒索软件防护绕过、进程转储绕过、防篡改绕过，以及最终在EDR进程内执行恶意代码的技术。 ## 背景知识 ### EDR系统简介端点检测和响应(EDR)解决方案监控终端用户设备，具有以下特点： - 以最高权限运行

2025-08-23 08:48:01

记录一次tp框架下的代码审计

该文档没有简介

2025-08-23 08:36:59

记录一次tp框架下的代码审计

# ThinkPHP框架代码审计实战教学文档 ## 一、环境准备与踩坑记录 ### 1.1 PHP环境配置 - **SG11扩展**：必须安装SG11扩展，否则系统无法正常运行 - **PHP版本**：确保使用兼容的PHP版本（文档未明确版本，建议5.6-7.4之间） ### 1.2 数据库配置 1. **控制器域名设置**： - 本地开发时若不允许数字域名，需在`web_domain`表中添加记录 2. **数据库监控配置**： - 修改数据库权限允许远程连接

2025-08-23 08:36:59

jshERP代码审计（一）

该文档没有简介

2025-08-23 08:36:07

jshERP代码审计（一）

# jshERP代码审计与漏洞分析报告 ## 1. 系统概述 jshERP是一个基于SpringBoot+Mybatis框架开发的企业资源计划系统。系统采用典型的三层架构： - Controller层：处理HTTP请求 - Service层：业务逻辑处理 - Mapper层：数据库操作 ## 2. SQL时间盲注漏洞 ### 2.1 漏洞位置 - 文件：`MaterialMapperEx.xml` - 问题：存在未预编译的SQL字段 ### 2.2 漏洞链分析 1. **Mapper层

2025-08-23 08:36:07

【翻译】TunnelVision (CVE-2024-3661)：攻击者可以基于DHCP的缺陷解密vpn流量

该文档没有简介

2025-08-23 08:35:01

【翻译】TunnelVision (CVE-2024-3661)：攻击者可以基于DHCP的缺陷解密vpn流量

# TunnelVision (CVE-2024-3661) VPN流量解密攻击技术分析 ## 1. 漏洞概述 TunnelVision是一种新型网络攻击技术，允许攻击者利用DHCP协议的内置功能强制目标用户的流量离开VPN隧道，导致用户传输的数据包未经VPN加密，从而被攻击者窥探。这种攻击方式被称为"解除隐形"(Decloaking)。 **关键特征**： - VPN控制通道保持完整，用户界面显示VPN仍处于连接状态 - 攻击者可以精确控制哪些流量通过VPN，哪些流量被旁路 - 该技术自

2025-08-23 08:35:01

【那些年-有趣的开发兄弟】如此验证？

该文档没有简介

2025-08-23 08:33:58

跳转到页