爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

文件上传限制绕过技巧

# 文件上传限制绕过技术详解 ## 1. 文件上传漏洞概述文件上传漏洞是Web安全中常见的一种漏洞形式，攻击者利用Web应用程序允许上传文件的功能，将恶意代码植入服务器，通过URL访问执行代码。安全性较高的Web应用通常会有各种上传限制和过滤机制。 ## 2. 客户端验证绕过 ### 2.1 客户端验证机制客户端验证通过JavaScript、VBScript或HTML5在文件发送至服务器前进行验证，特点是响应速度快但安全性低。 ### 2.2 绕过方法 1. **禁用JavaScr

2025-08-17 14:42:36

SecWiki周刊（第232期）

# Web安全与系统安全技术深度解析 ## 1. Web安全技术 ### 1.1 HTTP Referer限制绕过技术 HTTP Referer头是Web应用中常用的安全控制机制，但存在多种绕过方法： - **空Referer**：通过``标签或JavaScript的`window.open()`方法发送空Referer - **HTTPS到HTTP**：浏览器不会发送Referer当从HTTPS页面跳转到HTTP页面 - **Rel="noreferrer"**：使用``标签的nore

2025-08-17 14:41:57

红日安全|渗透测试指南电子书籍免费下载

# 红日安全渗透测试靶场指南教学文档 ## 一、Vulnhub简介 Vulnhub是一个综合渗透测试靶场平台，包含各种漏洞环境，可使用VMware或VirtualBox等虚拟平台运行。每个实验都从信息收集、漏洞利用到主机提权等完整流程进行练习。 ### 适用人群 - 渗透测试人员 - 代码审计人员 - 安全相关人员 ### Vulnhub使用教程 1. 访问官网：https://www.vulnhub.com/ 2. 选择靶场（如BSidesTLV: 2018 CTF） 3. 阅读靶场描

2025-08-17 14:30:57

TLS 1.3协议正式发布，下一代互联网安全协议诞生

# TLS 1.3协议详解与实施指南 ## 一、TLS 1.3概述 TLS 1.3是互联网工程任务组(IETF)于2018年8月正式发布的传输层安全协议最终版本(RFC 8446)，作为SSL/TLS协议家族的最新成员，它在安全性、性能和隐私方面带来了重大改进。 ### 协议发展历史 - SSL协议已有20多年历史 - TLS是SSL的升级版本 - TLS 1.3是迄今为止改动最大的版本 ## 二、TLS 1.3核心改进 ### 1. 安全性增强 - **加密更多握手过程**：保护免受

2025-08-17 14:30:25

Android 9 Pie 正式发布，腾讯云应用加固完美适配

# Android 9 Pie应用加固适配技术文档 ## 一、背景概述北京时间2018年8月7日，Google正式发布最新版Android平台——Android 9 Pie。腾讯云终端安全团队在系统发布后第一时间完成了应用加固方案的适配工作，确保其与新版Android系统的完美兼容。 ## 二、Android 9 Pie版本迭代历程 - 2018年3月8日：Android 9 DP1(开发者预览版1)发布 - 后续陆续发布多次版本迭代更新 - 2018年8月7日：Android 9 P

2025-08-17 14:29:52

基于机器学习的WebShell检测方法与实现（上）

# 基于机器学习的WebShell检测方法与实现 ## 一、WebShell概述 WebShell是攻击者使用的恶意脚本，目的是维护对已受攻击WEB应用程序的持久访问。WebShell本身不能直接攻击或利用远程漏洞，通常是攻击的第二步。 ### WebShell特点 - **功能**：包括shell命令执行、代码执行、数据库枚举和文件管理 - **用途**： 1. **持续远程访问**：包含后门，允许随时控制服务器 2. **特权升级**：尝试通过本地漏洞获取更高权限 ### W

2025-08-17 14:29:24

深入了解Json Web Token之概念篇

# JSON Web Token (JWT) 全面解析 ## 1. JWT 概述 JSON Web Token (JWT) 是一种开放标准 (RFC 7519)，用于在各方之间安全地传输信息作为 JSON 对象。JWT 的主要目的是在服务端和客户端之间以安全的方式来转移声明。 ### 1.1 JWT 的主要应用场景 1. **认证 (Authentication)** 2. **授权 (Authorization)** 3. 联合识别 4. 客户端会话（无状态的会话） 5. 客户端机密

2025-08-17 14:28:32

99%的人都不知道的秘密：世上竟有如此酷炫的钓鱼系统！

# 高级钓鱼系统BlackEye使用指南 ## 1. 钓鱼攻击概述钓鱼攻击是一种利用社会工程学手段诱导目标访问伪造网站或执行恶意操作的技术。成功的钓鱼攻击通常需要： - 精心设计的社会工程学话术 - 逼真的钓鱼页面 - 高效的钓鱼系统 - 目标行为监控机制 ## 2. BlackEye钓鱼系统介绍 BlackEye是一个功能强大的开源钓鱼框架，具有以下特点： - 支持33种常见服务的钓鱼页面模板 - 高度可定制化 - 简单易用的部署方式 - 支持多种攻击场景 ### 2.1 系统

2025-08-17 14:27:00

CoinHive智能网页挖矿的二三事

# CoinHive智能网页挖矿技术分析与防御指南 ## 1. 背景概述网页挖矿已成为黑产牟利的重要手段，区别于传统挖矿软件直接在操作系统层面运行，网页挖矿通过在网站中植入恶意JavaScript代码，利用访问者的CPU/GPU资源进行加密货币挖矿。 ## 2. 技术实现分析 ### 2.1 核心机制 - **被动挖矿**：用户在不知情情况下访问被植入挖矿代码的网站 - **主动挖矿**：网站明确告知用户并征得同意后进行挖矿 - **资源控制**：通过throttle参数控制CPU使

2025-08-17 14:26:03

浏览器攻击框架BeEF Part 6：对用户与浏览器的攻击测试

# BeEF浏览器攻击框架：用户与浏览器攻击测试指南 ## 内容概述本文是BeEF浏览器攻击框架系列教程的第6部分，重点介绍如何使用BeEF对用户和浏览器进行攻击测试。主要内容包括攻击用户（内容劫持、捕获用户输入、社会工程学）和攻击浏览器（联合Metasploit）的技术。 ## 攻击用户技术 ### 1. 内容劫持内容劫持是指替换被勾连浏览器中当前页面内容的技术： - **获取类模块**： - Get Cookie：获取当前页面的Cookie - Get Form Va

2025-08-17 14:25:11

技术讨论 | 如何绕过并利用Bucket的上传策略和URL签名

# Bucket上传策略与URL签名安全分析与利用指南 ## 1. Bucket策略基础概念 ### 1.1 什么是Bucket上传策略 Bucket上传策略是一种直接从客户端向云端存储空间(如AWS S3或Google云端存储)上传数据的安全机制。其核心流程包括： 1. 服务端创建定义上传规则的上传策略 2. 使用密钥对策略进行签名 3. 将签名后的策略发送给客户端 4. 客户端直接上传文件到Bucket 5. Bucket存储验证上传内容与策略是否匹配 ### 1.2 URL预签名

2025-08-17 14:24:32

[红日安全]代码审计Day1 - in_array函数缺陷

# PHP代码审计：in_array函数缺陷与安全风险 ## 1. in_array函数基础 ### 1.1 函数定义 `in_array()`是PHP中用于检查数组中是否存在某个值的函数，其定义如下： ```php bool in_array ( mixed $needle , array $haystack [, bool $strict = FALSE ] ) ``` ### 1.2 参数说明 - `$needle`: 要搜索的值 - `$haystack`: 要搜索的数组 - `$

2025-08-17 14:23:32

跳转到页