爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

从最近的微信支付看XXE漏洞

# XML外部实体注入(XXE)漏洞分析与防御指南 ## 1. XXE漏洞概述 XML外部实体注入(XXE)是一种安全漏洞，攻击者能够通过操纵XML文档中的外部实体声明来读取服务器上的任意文件，执行远程请求，甚至可能导致服务器端请求伪造(SSRF)。 ## 2. 漏洞原理 XXE漏洞发生在应用程序解析XML输入时，未正确配置XML解析器，导致允许处理外部实体。攻击者可以构造恶意XML文档，通过外部实体引用访问系统资源。 ## 3. 漏洞复现 ### 3.1 微信支付SDK漏洞案例

2025-08-17 16:57:01

浏览器攻击框架BeEF Part 2：初始化控制

# BeEF框架浏览器攻击技术详解：初始化控制 ## 一、浏览器攻击流程概述浏览器攻击通常分为三个阶段： 1. **初始化控制**：让目标浏览器执行BeEF钩子(hook.js) 2. **持续控制**：维持对目标浏览器的控制 3. **攻击阶段**：执行各类攻击手段（可交叉进行） ## 二、初始化控制方法详解 ### 1. 使用XSS攻击 **实施方法**： ```html ``` **防御绕过技术**： - **浏览器XSS防御**：Chrome/Safari的XSS Aud

2025-08-17 16:56:08

JRE8u20反序列化漏洞分析

# JRE8u20反序列化漏洞深入分析与利用 ## 0x00 漏洞概述 JRE8u20反序列化漏洞是在JDK7u21漏洞基础上改进而来，它绕过了Java SE对AnnotationInvocationHandler类的修复，允许攻击者通过精心构造的序列化数据实现任意代码执行。该漏洞利用了Java序列化机制中的多个特性，结合异常处理流程，最终实现了安全限制的绕过。 ## 0x01 Java序列化机制深入解析 ### 基本序列化格式 Java序列化后的字节流遵循特定格式，主要包含以下关键部

2025-08-17 16:55:20

SecWiki周刊（第227期）

### **SecWiki周刊（第227期）安全技术教学文档** --- ## **一、安全资讯与行业动态** ### **1. 人物与观点** - **杨卿：黑客男神的十年规划** - 核心内容：杨卿分享个人职业发展路径，强调技术深耕与产业结合的重要性。 - 关键点： - 从技术研究转向安全产品研发的转型经验。 - 对未来安全行业趋势的预测（如AI安全、IoT安全）。 - **兰德报告：中美网络安全冲突** - 核心内容：分析中美潜在网

2025-08-17 16:53:45

Django开发与攻防测试（入门篇）

# Django开发与攻防测试(入门篇)教学文档 ## 一、Django基础开发 ### 1. 环境搭建与项目创建 ```bash # 下载指定版本Django pip install django==1.8.2 -i https://pypi.mirrors.ustc.edu.cn/simple/ # 创建虚拟环境 virtualenv django_demo cd django_demo source bin/activate # 创建项目目录结构 mkdir learn_djan

2025-08-17 16:42:25

浏览器攻击框架BeEF Part 3：持续控制

# BeEF浏览器攻击框架Part 3：持续控制技术详解 ## 1. 持续化控制概述 BeEF在获得对浏览器的初始化控制后，需要实现持续化控制以维持攻击效果。持续化控制分为两个主要方面： - **持久通信**：BeEF服务器与僵尸浏览器之间的通信技术选择 - **持久存续**：确保用户尽可能停留在被钩住的页面 ## 2. 持久通信技术 ### 2.1 CORS跨域资源共享 - BeEF服务器在每个HTTP响应中包含以下首部： ``` Access-Control-Allow-

2025-08-17 16:41:31

专注“攻击溯源”的网络安全公司中睿天下完成8000万A+轮融资，华创资本领投

# 攻击溯源技术及其在网络安全中的应用 ## 一、攻击溯源技术概述攻击溯源(Anti-killchain)是一种新兴的网络安全防护技术，它通过追踪和分析网络攻击的全过程，从攻击者的视角构建安全防护体系。该技术由中睿天下公司于2014年全球首创并应用于网络安全防护领域。 ### 1.1 技术背景 - 传统安全防护体系的局限性：检测率低、误报率高、效率低 - 网络威胁日益复杂：威胁来源和攻击手段不断变化 - 企业面临的安全风险与日俱增，需要更有效的防护手段 ### 1.2 技术原理攻击溯

2025-08-17 16:40:54

挖洞经验 | 看我如何发现苹果公司官网Apple.com的无限制文件上传漏洞

# 苹果官网无限制文件上传漏洞分析与利用教学 ## 漏洞概述本教学文档详细分析苹果公司官网Apple.com存在的一个无限制文件上传漏洞，该漏洞源于AWS S3存储桶的错误配置，允许攻击者上传任意文件到苹果的子域名网站。 ## 工具准备 ### Aquatone工具套件 Aquatone是一个强大的子域名侦察工具，包含四个主要功能模块： 1. **Aquatone-discover**：从开源信息和常见子域名字典中识别目标网站的子域名 2. **Aquatone-scan**：对发

2025-08-17 16:40:04

浏览器攻击框架BeEF Part 4：绕过同源策略与浏览器代理

# BeEF攻击框架教学：绕过同源策略与浏览器代理技术 ## 一、同源策略(SOP)及其绕过技术 ### 1.1 同源策略基础同源策略(Same-Origin Policy, SOP)是浏览器核心安全机制，它将拥有**相同协议、主机名和端口**的页面视为同一来源。不同来源的资源交互受到严格限制： - 限制DOM访问 - 限制网络请求响应读取 - 限制Cookie/LocalStorage访问 ### 1.2 绕过SOP的两种主要途径 #### 1.2.1 浏览器/插件漏洞利用 -

2025-08-17 16:39:33

任子行移动互联网6月份移动安全月报

# 任子行移动互联网6月份移动安全月报解析与教学文档 ## 一、移动安全威胁概述根据任子行2018年6月份移动安全月报，移动互联网安全形势依然严峻，主要威胁包括： 1. **恶意软件**：持续增长的新型变种 2. **漏洞利用**：Android系统及流行应用的未修复漏洞 3. **数据泄露**：不当权限获取导致的用户隐私泄露 4. **网络攻击**：针对移动设备的针对性攻击增加 ## 二、恶意软件分析 ### 1. 主要恶意软件类型 - **资费消耗类**：占比35.6%，通过后

2025-08-17 16:38:34

挖洞经验 | 看我如何发现GitHub提权漏洞获得$10000赏金

# GitHub Organization提权漏洞分析与利用教学 ## 1. 背景知识 ### 1.1 GitHub Organization角色体系 GitHub Organization是GitHub提供的一种账号管理模式，适用于团队协作开发： - **Organization**：代表一组共同拥有多个项目的用户，提供成员分组管理工具 - **Owner**：组织所有者，拥有最高权限，可以： - 查看和编辑所有组织和仓库数据 - 不可逆地删除整个组织及其所有数据 - **Me

2025-08-17 16:37:57

Chrome 68发布倒计时，7月起所有HTTP网站标记“不安全”

# HTTPS加密升级教学文档：应对浏览器HTTP"不安全"警告 ## 1. 背景概述 2018年7月24日Chrome 68稳定版发布后，所有HTTP网站将被标记为"不安全"。这是谷歌推动HTTPS加密普及的重要举措，其他主流浏览器(Firefox、Safari)也已加入弃用HTTP的行列。 ## 2. 浏览器标记HTTP"不安全"的时间线 - **2017年1月(Chrome 56)**：开始对含敏感信息(密码、信用卡)传输的HTTP页面标记"不安全" - **2017年10月(Ch

2025-08-17 16:37:11

跳转到页