爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

一篇文章带你深入理解漏洞之 XXE 漏洞

# XXE漏洞深入理解与利用指南 ## 一、XXE漏洞概述 XXE（XML External Entity Injection）全称为XML外部实体注入，是一种注入漏洞，攻击者通过注入恶意的外部实体来攻击XML解析器。 ### 与普通XML注入的区别 - 普通XML注入利用面较窄，多为逻辑漏洞 - XXE通过注入外部实体大大拓宽了攻击面 ## 二、XML基础知识 ### XML文档结构 XML文档由DTD（Document Type Definition）控制格式规范： ```xml

2025-08-27 02:35:44

java代码审计手书(一）

该文档没有简介

2025-08-27 02:34:38

java代码审计手书(一）

# Java代码审计手书 - 安全漏洞与修复指南 ## 1. 伪随机数生成器漏洞 ### 漏洞特征 - **PREDICTABLE_RANDOM**：在关键安全场景使用可预测随机数会导致严重漏洞 - 影响场景： - CSRF token生成 - 密码重置token - 其他包含秘密的信息 ### 有漏洞代码 ```java String generateSecretToken() { Random r = new Random(); return Long.to

2025-08-27 02:34:38

GIF/Javascript Polyglots:滥用GIF、tag和MIME类型成灾

该文档没有简介

2025-08-27 02:33:42

GIF/Javascript Polyglots:滥用GIF、tag和MIME类型成灾

# GIF/JavaScript Polyglot 攻击技术详解 ## 1. 基本概念 ### 1.1 什么是Polyglot文件 Polyglot文件是指一段能够被两种或多种不同解释器/解析器正确解析的代码或数据。在本例中，我们讨论的是同时作为有效GIF图像和有效JavaScript代码的文件。 ### 1.2 攻击原理通过精心构造一个同时符合GIF和JavaScript语法的文件，利用浏览器对不同MIME类型的处理差异，实现当文件被作为脚本加载时执行恶意代码。 ## 2. 技术

2025-08-27 02:33:42

java代码审计手书(二）

该文档没有简介

2025-08-27 02:32:57

java代码审计手书(二）

# Java代码审计手书(二) - XML与注入漏洞详解 ## 1. XML解析导致的XXE漏洞 ### 1.1 漏洞特征与危害 XXE (XML External Entity)漏洞发生在XML解析程序接收不受信任的输入且支持外部实体解析时。 **主要危害**： 1. 探测本地文件内容 ```xml ]> &xxe; ``` 2. 拒绝服务攻击(XEE) ```xml .

2025-08-27 02:32:57

探寻Flash SWF中的漏洞

该文档没有简介

2025-08-27 02:31:08

探寻Flash SWF中的漏洞

# Flash SWF漏洞挖掘技术手册 ## 一、前言与背景 Flash SWF文件曾经是互联网广泛使用的多媒体格式，虽然现在已逐渐被淘汰，但在遗留系统中仍可能存在安全隐患。本手册详细介绍了Flash SWF文件的漏洞挖掘技术，包括工具使用、代码分析方法和漏洞利用技巧。 ## 二、必备工具 ### 1. 反编译工具 - **JPEXS Free Flash Decompiler**：用于反编译SWF文件，读取源代码并导出 - 下载地址：https://www.free-decompi

2025-08-27 02:31:08

java代码审计手书(三）

该文档没有简介

2025-08-27 02:30:01

java代码审计手书(三）

# Java代码审计手书(三) - 安全漏洞与防御措施 ## 1. 代码注入类漏洞 ### 1.1 脚本引擎注入(SCRIPT_ENGINE_INJECTION) **漏洞特征**：动态执行未经验证的用户输入脚本代码。 **风险**：恶意代码执行可导致数据泄露或任意系统指令执行。 **漏洞代码**： ```java public void runCustomTrigger(String script) { ScriptEngineManager factory = new Sc

2025-08-27 02:30:01

PHP利用PCRE回溯次数绕过某些安全限制

该文档没有简介

2025-08-27 02:28:25

跳转到页