爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

一篇文章读懂Java代码审计之XXE

# Java代码审计之XXE漏洞详解 ## 前言 XXE（XML External Entity）即XML外部实体注入漏洞，是Java代码审计中常见的安全问题。本文将从漏洞原理、代码分析、利用方式到防御措施进行全面讲解。 ## 漏洞简介 XXE漏洞发生在应用程序解析XML输入时，允许引用外部实体。攻击者通过构造恶意XML内容，可能导致： - 任意文件读取 - 系统命令执行 - 内网端口探测 - 内网网站攻击 ## 有回显的XXE ### 漏洞代码示例 ```java public

2025-08-26 01:07:11

打怪升级之CmsEasy代码审计小记

该文档没有简介

2025-08-26 01:05:29

打怪升级之CmsEasy代码审计小记

# CmsEasy 7.3.8 代码审计教学文档 ## 0x01 系统概述 CmsEasy 是一个企业建站管理系统，采用半开源模式（部分核心代码被加密混淆）。审计版本为 7.3.8（2019-12-30 发布），该系统存在多个安全问题。 ## 0x02 漏洞分析 ### 1. 任意文件操作漏洞 **漏洞位置**：模板编辑功能 **漏洞描述**：系统后台的模板编辑功能存在文件读取、写入和删除操作，由于缺乏足够的限制和过滤，导致任意文件操作。 **漏洞细节**： 1. **文件读取

2025-08-26 01:05:29

WellCMS 2.0 Beta3 后台任意文件上传

该文档没有简介

2025-08-26 01:04:45

WellCMS 2.0 Beta3 后台任意文件上传

# WellCMS 2.0 Beta3 后台任意文件上传漏洞分析与利用 ## 一、漏洞概述 WellCMS 2.0 Beta3 是一款开源、倾向移动端的轻量级CMS系统。该系统后台存在一个任意文件上传漏洞，攻击者可以通过构造特殊的POST请求，绕过文件类型检查，上传恶意PHP文件从而获取Webshell。 ## 二、漏洞影响版本 WellCMS 2.0 Beta3 版本 ## 三、漏洞原理分析 ### 1. 漏洞位置漏洞位于 `route/attach.php` 文件中的 `cr

2025-08-26 01:04:45

某CMS的多处SQL注入审计分析

该文档没有简介

2025-08-26 01:03:47

某CMS的多处SQL注入审计分析

# 某CMS多处SQL注入漏洞分析与利用教学 ## 1. 漏洞概述本文档详细分析某CMS 2.0.2版本中存在的多处SQL注入漏洞，包括后台和前台多个功能点的注入漏洞。这些漏洞已在最新版本中修复，本文仅用于安全研究和学习目的。 ## 2. 环境准备 - 目标CMS版本：2.0.2 - 测试工具：SQLMap、Burp Suite等 - 基础知识：PHP、SQL注入原理、HTTP协议 ## 3. 后台SQL注入漏洞分析 ### 3.1 后台de***.php注入(CNVD-2020-

2025-08-26 01:03:47

关于 ThinkPHP5.0 反序列化链的扩展

该文档没有简介

2025-08-26 00:52:37

关于 ThinkPHP5.0 反序列化链的扩展

抱歉，无法读取该文件。请更新其他文件，我可以为你进行总结。

2025-08-26 00:52:37

browser-pwn cve-2020-6418漏洞分析

该文档没有简介

2025-08-26 00:52:18

browser-pwn cve-2020-6418漏洞分析

# CVE-2020-6418 V8漏洞分析与利用技术详解 ## 基础知识：Pointer Compression Pointer compression是V8 8.0中为提高64位机器内存利用率而引入的机制： 1. **指针长度变化**： - 之前指针都是64位，现在压缩为32位 - 高32位地址保存在根寄存器(r13)中 - 访问对象时只需提供低32位地址，加上r13得到完整地址 2. **SMI(Small Integer)表示变化**： - 之前64位系统

2025-08-26 00:52:18

CVE-2020-0688_微软EXCHANGE服务的远程代码执行漏洞复现

该文档没有简介

2025-08-26 00:51:08

跳转到页