爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

fastjson1.2.80 in Springtboot实网利用记录

# Fastjson 1.2.80 在 Spring Boot 环境中的实网利用分析与教学 ## 一、漏洞背景 Fastjson 1.2.80 版本存在反序列化漏洞，攻击者可以通过精心构造的 JSON 数据实现远程代码执行(RCE)。本文档详细记录了在 Spring Boot 环境中利用该漏洞的完整过程和技术细节。 ## 二、漏洞验证技术 ### 1. 基础验证方法 #### 1.1 布尔值检测法传统 Fastjson 漏洞检测通常依赖布尔值返回差异，但在某些环境中可能不适用。 #

2025-08-30 08:54:16

网络安全人士必知的渗透测试工具Parrot OS

该文档没有简介

2025-08-30 08:52:10

网络安全人士必知的渗透测试工具Parrot OS

# Parrot OS 渗透测试工具全面教学文档 ## 1. Parrot OS 简介 Parrot OS (全称 Parrot Security OS)是由意大利 Frozenbox 团队开发的一款基于 Debian 的 Linux 操作系统，专为以下场景打造： - 安全研究 - 渗透测试 - 数字取证 - 逆向分析 - 隐私保护 ### 1.1 版本分类 | 版本名称 | 主要用途 | |---------|---------| | Parrot Security | 主要版本，内置

2025-08-30 08:52:10

Apache中间件安全加固实验

该文档没有简介

2025-08-30 08:51:25

Apache中间件安全加固实验

# Apache中间件安全加固实验教学文档 ## 实验目的掌握对Apache中间件进行安全加固的方法，减少Apache系统自身的脆弱性，提高抵御攻击的能力。 ## 实验环境 - 操作系统：CentOS 7 x64 - 中间件：Apache/2.4.6 ## 实验原理通过对Apache进行安全配置调整，消除或减少潜在的安全风险，增强Web服务器的安全性。 ## 安全加固步骤 ### 1. 防信息泄漏 #### (1) 隐藏Apache版本信息 **加固要求**：禁止客户端访问时显示

2025-08-30 08:51:25

burp插件开发-实战开发越权插件

该文档没有简介

2025-08-30 08:51:03

burp插件开发-实战开发越权插件

# Burp插件开发实战：越权检测插件开发指南 ## 一、前言本教程将详细介绍如何开发一个Burp Suite越权检测插件，该插件能够自动检测水平越权、垂直越权和未授权访问漏洞。通过本教程，您将学习到Burp插件开发的核心技术，包括监听器使用、HTTP请求解析、对象工厂和GUI开发等知识。 ## 二、越权检测原理 ### 1. 越权类型 - **水平越权**：同级别用户访问彼此资源 - **垂直越权**：低权限用户访问高权限功能 - **未授权访问**：无需认证即可访问受限资源 ##

2025-08-30 08:51:03

使用CodeQL挖掘Spring中的大量赋值漏洞

该文档没有简介

2025-08-30 08:50:07

使用CodeQL挖掘Spring中的大量赋值漏洞

# Spring框架中的大量赋值漏洞分析与CodeQL挖掘技术 ## 1. 大量赋值漏洞概述 ### 1.1 基本概念大量赋值(Mass Assignment)漏洞是指后端为了简化开发流程，自动将请求参数绑定到后端对象的属性上，但开发者没有限制哪些字段可以被赋值，导致攻击者可能注入原本不应由用户控制的敏感字段。 ### 1.2 常见表现形式 1. 在获取用户列表请求中FUZZ SQL关键字 - 示例：`/api/user?name=ad&orderby=id&sort=desc

2025-08-30 08:50:07

Polyglot漏洞浅析

该文档没有简介

2025-08-30 08:48:44

Polyglot漏洞浅析

# Polyglot漏洞分析与利用技术 ## 1. 漏洞概述 Polyglot（多语言混合）漏洞是一种利用编程语言对多种语言兼容特性实现的攻击手法。在Golang中，这种漏洞特别体现在CGO特性上，允许Go代码中嵌入和调用其他语言（如C、汇编）的代码。 ## 2. 漏洞背景该漏洞在Grey Cat The Flag 2025比赛中被发现，涉及一个Go语言编写的C2（命令与控制）服务器。服务器提供了几个关键功能端点，其中存在可利用的安全缺陷。 ## 3. 漏洞分析 ### 3.1 服

2025-08-30 08:48:44

JAVA代码审计之从若依任意文件读取学防护

该文档没有简介

2025-08-30 08:48:16

跳转到页