爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

Phar与Stream Wrapper造成PHP RCE的深入挖掘

# Phar与Stream Wrapper造成PHP RCE的深入分析 ## 1. 背景介绍 Phar（PHP Archive）是PHP的一种打包格式，类似于Java的JAR文件。自PHP 5.3.0起，Phar扩展默认启用。在2018年Black Hat大会上，Sam Thomas提出了通过"phar://" Stream Wrapper触发反序列化漏洞的技术，这为PHP安全研究开辟了新的攻击面。 ## 2. 核心原理 ### 2.1 Phar反序列化机制当PHP对Phar文件进行

2025-08-27 04:28:35

jQuery-File-Upload <= 9.x 远程命令执行漏洞 (ImageMagick/Ghostscript)

该文档没有简介

2025-08-27 04:27:32

jQuery-File-Upload <= 9.x 远程命令执行漏洞 (ImageMagick/Ghostscript)

# jQuery-File-Upload <= 9.x 远程命令执行漏洞分析 ## 漏洞概述 jQuery-File-Upload 是一个流行的文件上传组件，在版本9.x及以下存在一个严重的远程命令执行漏洞。该漏洞源于组件在处理上传图片时使用了存在安全问题的ImageMagick/Ghostscript库，攻击者可以通过上传恶意构造的图片文件来执行任意系统命令。 ## 漏洞细节 ### 漏洞位置漏洞位于 `/server/php/UploadHandler.php` 文件中的 `ge

2025-08-27 04:27:32

http-header安全字段总结

该文档没有简介

2025-08-27 04:26:49

http-header安全字段总结

# HTTP安全头字段全面指南 ## HTTP安全头字段概述 HTTP安全头字段是Web服务器在HTTP响应中设置的特定标头，用于增强Web应用程序的安全性。这些标头可以防止多种攻击，如跨站脚本(XSS)、点击劫持、中间人攻击等，同时也能减少信息泄露的风险。 ## 防止攻击的安全头字段 ### 1. HTTP严格传输安全(HSTS) **作用**：强制浏览器仅通过HTTPS访问网站，防止SSL剥离攻击。 **配置语法**： ``` Strict-Transport-Security:

2025-08-27 04:26:49

PHP反序列化的一些例子

该文档没有简介

2025-08-27 04:25:30

PHP反序列化的一些例子

# PHP反序列化漏洞详解与实战 ## 一、PHP反序列化基础概念 ### 1.1 序列化与反序列化 PHP中的序列化(`serialize()`)是将PHP值转换为可存储或传输的字符串表示的过程，反序列化(`unserialize()`)则是将字符串重新转换为PHP值。 **序列化特点**： - 保存对象的所有变量，但不保存对象的方法 - 只保存类的名字 - 反序列化时对象的类必须已定义 ### 1.2 魔术方法（Magic Methods） PHP反序列化漏洞通常利用可以自动调用

2025-08-27 04:25:30

攻击者是如何攻击持续集成系统Jenkins的

该文档没有简介

2025-08-27 04:24:35

攻击者是如何攻击持续集成系统Jenkins的

# Jenkins安全攻防指南：攻击技术与防御措施 ## 1. Jenkins简介与安全现状 Jenkins是一款先进的开源自动化服务器，广泛应用于开发团队的持续集成(CI)流程中。持续集成是指团队成员提交更新时自动完成代码构建和测试的过程。近年来，攻击者开始大规模利用Jenkins服务器进行加密货币挖矿，并针对开发环境发起有针对性的攻击以维持持久访问权限。Jenkins因其高权限特性和开发环境中的关键位置，已成为攻击者的重要目标。 ## 2. Jenkins攻击技术详解 ### 2

2025-08-27 04:24:35

WebExec之技术纲要(权限提升&代码执行)

该文档没有简介

2025-08-27 04:23:38

WebExec之技术纲要(权限提升&代码执行)

# WebExec漏洞技术分析与利用指南 ## 漏洞概述 WebExec是WebEx客户端软件(WebexUpdateService)中的一个严重漏洞，允许任何登录到安装了WebEx的Windows系统的用户远程执行SYSTEM级命令。该漏洞同时具备本地权限提升和远程代码执行能力。 **影响版本**：截至2018年8月的最新客户端版本3211.0.1801.2200及之前多个版本 **漏洞特点**： - 服务不监听任何端口但仍可远程利用 - 本地普通用户可提升至SYSTEM权限 - 域环

2025-08-27 04:23:38

看！这里有三种非Web型的XSS注入漏洞

该文档没有简介

2025-08-27 04:22:46

跳转到页