爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

记一次webshell被上传溯源事件

# WebShell上传漏洞分析与防御指南 ## 1. 事件背景与概述本案例描述了一起WebShell被上传的安全事件，攻击者通过文件上传功能中的编码绕过漏洞成功上传了JSP格式的WebShell。尽管系统已经实施了多项安全措施（如文件类型白名单、随机文件名生成等），但由于开发人员在整改过程中引入了Base64编码/解码机制而未对解码后的内容进行充分验证，导致安全防护被绕过。 ## 2. 事件处理流程 ### 2.1 初步响应与确认 - **客户报告**：客户发现云平台检测到来自公司

2025-08-15 05:46:57

【FreeBuf字幕组】Hackerone漏洞分析：星巴克隐私数据泄露

# 星巴克API路径遍历漏洞分析教学文档 ## 漏洞概述本教学文档详细分析2020年发现的星巴克网站API路径遍历漏洞，该漏洞导致近1亿条顾客记录信息可被未授权访问。漏洞由安全研究员Sam Curry发现，最终被评估为高危漏洞并获得$4000奖励。 ## 漏洞发现过程 ### 初始发现 1. 研究员在星巴克官网购物时注意到大量API交互 2. 重点测试了`/bff/proxy/` API接口 3. 首先发现`/bff/proxy/orchestra/get-user`接口可返回用户注册

2025-08-15 05:46:10

渗透测试之SQL注入(一)

# SQL注入攻击与防御技术详解 ## 一、SQL注入基本概念 SQL注入(SQL Injection)是一种常见的Web安全漏洞，攻击者利用应用程序对用户输入数据的不当处理，向数据库注入恶意SQL代码，从而执行非授权的数据库操作。 ### 定义 SQL注入是指web应用程序对用户输入数据的合法性没有判断或过滤不严，攻击者可以在web应用程序中事先定义好的查询语句的结尾上添加额外的SQL语句，以此来实现欺骗数据库服务器执行非授权的任意查询。 ### 典型示例 ```php $SQL =

2025-08-15 05:45:36

Urlbuster：一款支持爆破的可变异Web目录模糊测试工具

# Urlbuster Web目录模糊测试工具详细教学文档 ## 一、工具概述 Urlbuster是一款功能强大的Web目录模糊测试工具，用于定位目标应用程序中现有和隐藏的文件及目录。它类似于dirb和gobuster，但提供了更多变异选项。 ### 主要特点 - 支持多种变异选项 - 代理支持 - Cookie支持 - 基本身份验证和摘要授权 - 重试机制（针对慢速服务器） - 持久性和非持久性HTTP连接 - 多种请求方法支持（GET、POST、PUT、DELETE、PATCH、HEA

2025-08-15 05:45:06

手把手教你使用GitHub Actions进行安全开发

# GitHub Actions安全开发实战指南 ## 一、GitHub Actions简介 GitHub Actions是GitHub于2019年11月正式推出的CI/CD服务，它允许开发人员基于代码提交(check-ins)和拉取请求(pull request)等事件触发器来自动化构建、测试和部署代码。 ### 核心特性 - 基于事件驱动的工作流自动化 - 支持私有仓库和公开仓库 - 提供Windows、Linux和macOS运行环境 - 可与其他GitHub功能无缝集成 ## 二、

2025-08-15 05:44:09

SkyArk：一款针对Azure和AWS的安全审计工具

# SkyArk 云安全审计工具使用指南 ## 1. SkyArk 概述 SkyArk 是一款由 CyberArk 开发的专业云安全审计工具，专门用于扫描和评估 Azure 和 AWS 云环境中的特权实体安全状况。该工具主要包含两大核心模块： - **AzureStealth**：针对 Azure 环境的特权实体扫描模块 - **AWStealth**：针对 AWS 环境的特权实体扫描模块主要功能特点： - 发现云环境中拥有高权限的特权实体（用户、组、角色） - 评估这些特权实体的安全

2025-08-15 05:43:29

记一次针对鹅厂的盗号追踪——盗号，朋友，以及妹子的故事

# 网络钓鱼与盗号攻击案例分析及防范指南 ## 一、案例背景本案例记录了针对腾讯QQ账号的系列盗号攻击事件，攻击者利用社交工程结合钓鱼网站实施盗号，并通过被盗账号继续扩大攻击范围。攻击手法具有典型性，受害者包括普通网民和网络安全意识较弱的用户群体。 ## 二、攻击手法分析 ### 1. 攻击流程 1. **信息收集阶段**： - 攻击者预先收集目标用户A的社交信息(头像、昵称、好友关系等) - 准备伪装成A的小号(B号) 2. **社交工程阶段**： - 使用B号

2025-08-15 05:42:56

WAF代码剖析之初识openresty

# OpenResty WAF开发指南 ## 1. OpenResty简介 OpenResty是一个基于Nginx与Lua的高性能Web平台，它集成了大量精良的Lua库、第三方模块以及大多数依赖项。OpenResty通过Lua脚本语言扩展了Nginx的功能，使其能够处理更复杂的业务场景。 ### 1.1 为什么选择OpenResty开发WAF 1. **性能优势**：相比原生Nginx，OpenResty性能更优 2. **开发便利**：Lua脚本语言比C语言更易编写和维护 3. **功

2025-08-15 05:42:12

字典生成器crunch极其应用

# Crunch字典生成器详细使用教程 ## 一、Crunch简介 Crunch是一款强大的字典生成工具，预装在Kali Linux系统中，专门用于创建自定义密码字典。它特别适用于社会工程学攻击场景，能够根据目标个人信息生成高度针对性的密码组合。 ## 二、安装方法 Kali Linux已预装Crunch，如需在其他系统安装： ``` git clone https://github.com/crunchsec/crunch cd crunch/src make make install

2025-08-15 05:41:26

挖洞经验 | 通过下载功能实现Facebook安卓应用任意代码执行

# Facebook安卓应用任意代码执行漏洞分析 ## 漏洞概述本漏洞存在于Facebook安卓应用的群组文件下载功能中，攻击者可以利用路径遍历漏洞覆盖应用的关键库文件，最终实现任意代码执行(ACE)。该漏洞影响通过"文件标签"(Files Tab)下载文件的功能模块。 ## 漏洞发现过程 ### 文件下载机制分析 Facebook安卓应用存在两种文件下载机制： 1. **安全机制**：直接从群组帖子中下载文件时，使用安卓内置的`DownloadManager`服务，该机制安全性较

2025-08-15 05:40:58

挖洞经验 | 利用越权漏洞（IDOR）实现账户劫持

# 利用IDOR漏洞实现账户劫持的深入分析与防御指南 ## 1. IDOR漏洞概述 **不安全的直接对象引用(Insecure Direct Object Reference, IDOR)**是一种常见的Web授权逻辑漏洞，攻击者通过直接操作未经验证的对象引用（如ID、文件名或密钥）来访问未授权的资源。 ### 1.1 IDOR漏洞分类根据危害程度，IDOR可分为四类： 1. **数据读取**：未经授权查看他人数据 2. **数据篡改**：未经授权修改他人数据 3. **权限提升**：

2025-08-15 05:30:16

DVWA下的爆破（高难度）

# DVWA爆破攻击高级防御机制分析与绕过技术 ## 1. 高难度级别爆破攻击概述 DVWA(Damn Vulnerable Web Application)的高难度级别在爆破攻击中引入了Anti-CSRF token机制，使得传统的爆破技术失效。本文详细分析其防御机制及相应的绕过技术。 ## 2. 高难度级别防御机制分析 ### 2.1 Anti-CSRF Token机制 ```php // Check Anti-CSRF token checkToken( $_REQUEST[ '

2025-08-15 05:29:36

跳转到页