爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

bug bounty实例：框架注入攻击详解

# 框架注入攻击详解与防御指南 ## 1. 框架注入概述框架注入(Frame Injection)是一种代码注入漏洞，属于OWASP 2017年前十大安全风险中的A1注入类别。这种攻击允许攻击者将恶意框架注入到目标网页中，从而控制页面行为或重定向用户到恶意网站。 ### 1.1 基本概念 - **框架(Frame/iframe)**: HTML元素，允许在一个网页中嵌入另一个网页 - **框架注入**: 攻击者通过某种方式将恶意框架注入到目标网页中 - **同源策略(SOP)**: 浏

2025-08-26 15:10:24

谈js静态文件在漏洞挖掘中的利用

该文档没有简介

2025-08-26 15:09:31

谈js静态文件在漏洞挖掘中的利用

# JavaScript静态文件在漏洞挖掘中的利用 ## 一、前期准备：域名收集在开始JS静态文件分析前，首先需要进行全面的域名收集工作： ### 常用工具 - **wydomain**：猪猪侠开发的域名收集工具 - **subsomain**：子域名枚举工具 - **sublist3r**：基于搜索引擎的子域名收集工具 - **subdomainsBurte**：暴力枚举子域名工具 - **DiscoverSubdomain**：子域名发现工具 - **layer子域名挖掘机**：综合

2025-08-26 15:09:31

记一次真实的邮件钓鱼演练

该文档没有简介

2025-08-26 15:08:43

记一次真实的邮件钓鱼演练

# 邮件钓鱼演练实战教学文档 ## 一、演练背景与准备 1. **演练目的**：配合部门月度信息安全主题宣讲，进行真实的邮件钓鱼演练，测试员工安全意识 2. **目标对象**：公司全员 3. **技术前提**：确认公司Exchange服务器未开启SPF等反钓鱼策略（提高成功率） ## 二、钓鱼系统搭建 ### 1. 钓鱼页面制作 **方案选择**： - 完全克隆原系统（推荐使用setoolkit的site cloner功能） - 简化制作（本案例选择）：仅保留关键页面元素 **本案例

2025-08-26 15:08:43

bugbounty:由301重定向获取AWS安全凭证

该文档没有简介

2025-08-26 15:07:47

bugbounty:由301重定向获取AWS安全凭证

# 通过301重定向获取AWS安全凭证的漏洞分析与利用 ## 漏洞概述本案例展示了一个由开放重定向漏洞演变为服务器端请求伪造(SSRF)，最终获取AWS EC2实例安全凭证的完整攻击链。攻击者利用ASP.NET应用程序中的路由配置错误，通过精心构造的URL实现了对AWS元数据服务的访问，从而获取敏感凭证。 ## 漏洞发现过程 ### 1. 初始发现 1. **应用程序技术栈识别**： - 通过响应头确认应用程序使用Windows IIS/10.0服务器 - 基于ASP.N

2025-08-26 15:07:47

初探漏洞挖掘基础

该文档没有简介

2025-08-26 15:06:58

初探漏洞挖掘基础

# 漏洞挖掘基础教学文档 ## 一、漏洞挖掘的基本认知 ### 1.1 漏洞挖掘的前提条件 1. **对漏洞的认知** - 理解漏洞的产生原理和修复方案 - 了解修复方案的潜在绕过方法 - 示例：SQL注入产生于用户输入未过滤直接带入数据库查询 2. **系统化的挖掘步骤** - 针对不同类型网站应有不同的测试策略 - 购物网站与登录系统的测试重点不同 3. **防护绕过思维** - 遇到WAF不应直接放弃 - 思考绕过方案（如代理池、伪造he

2025-08-26 15:06:58

浅谈轰炸漏洞攻防思路

该文档没有简介

2025-08-26 15:06:09

浅谈轰炸漏洞攻防思路

# 短信/邮箱轰炸漏洞攻防详解 ## 0x00 前期准备 ### 临时接收短信网站用于测试的临时短信接收平台： - https://www.pdflibr.com/ - http://www.z-sms.com/ - https://www.receive-sms-online.info/ - [国内]https://yunduanxin.net/ - [国内]http://www.smszk.com/ - [国外]http://receive-sms-online.com/ - [国外]

2025-08-26 15:06:09

记脚本小子的一次渗透全过程

该文档没有简介

2025-08-26 15:05:36

跳转到页