爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

由一张小票引起的联想

# 电子发票系统安全漏洞分析与防范指南 ## 漏洞发现背景通过观察一张电子发票小票，发现其URL链接包含明文参数，且参数可被篡改后仍能生成有效发票二维码。这揭示了当前电子发票系统存在的重大安全隐患。 ## 漏洞详细分析 ### 1. URL参数结构示例URL格式： ``` http://fapiao.lppz.com/eleInvoice/index.jhtml?ive=6640|66401|2019/01/29|00055102|139.21 ``` 参数分解： - `6640`：

2025-08-17 05:02:01

简记野生应急捕获到的siteserver远程模板下载Getshell漏洞

# SiteServer CMS 远程模板下载Getshell漏洞分析报告 ## 漏洞概述 SiteServer CMS（版本5.0及以下）存在一个高危远程代码执行漏洞，攻击者可通过远程模板下载功能实现Getshell。该漏洞源于后台模板下载功能未进行充分的权限校验，且`ajaxOtherService.aspx`接口的`downloadUrl`参数可控，导致攻击者可以构造恶意请求下载并自动解压包含后门的模板文件。 ## 漏洞影响 - 影响版本：SiteServer CMS 5.0及以下

2025-08-17 05:01:34

自研分布式web漏洞扫描平台WDScanner

# WDScanner分布式Web漏洞扫描平台教学文档 ## 1. 平台概述 WDScanner是由Tide安全团队(www.tidesec.net)开发的一套分布式Web漏洞检测系统，主要功能包括： - 分布式Web漏洞扫描 - 客户管理 - 漏洞定期扫描 - 网站爬虫 - 暗链/坏链检测 - 网站指纹搜集 - 专项漏洞检测 - 代理搜集及部署 - 密码定向破解 - 社工库查询 ## 2. 安装部署 ### 2.1 环境准备 1. MySQL数据库 2. Java运行环境 3. W

2025-08-17 05:00:49

自己写的小框架

# 二进制安全框架开发教学文档 ## 1. 框架概述这是一个基于Python开发的二进制安全框架，主要用于小型ShellCode分析、生成和漏洞利用。框架参考了FuzzBunCh的设计理念，目前处于半成品状态，但已具备基本功能。 ## 2. 核心功能 - ShellCode生成与分析 - 缓冲区溢出漏洞利用 - 跨平台支持（Win32 x86/x64/ARM） - 汇编与反汇编功能 - 自动化Payload构造与发送 ## 3. 依赖环境 ### 3.1 主要依赖模块 1. **

2025-08-17 04:59:57

某疑似针对中东地区的APT攻击事件分析

# APT攻击事件分析教学文档：针对中东地区的APT攻击案例分析 ## 1. 事件概述这是一起针对中东地区能源行业的疑似APT攻击事件，攻击者利用最新披露的Adobe Flash Player漏洞(CVE-2018-15982)发起攻击。 **关键时间点**： - 漏洞披露时间：2018年12月初 - 攻击样本出现时间：2018年12月12日 - 相关文件上传时间：2018年7月至11月 ## 2. 攻击样本分析 ### 2.1 初始攻击载体 - **样本名称**：Terminals

2025-08-17 04:59:30

一文读懂人工智能、机器学习、深度学习、强化学习的关系（必看）

# 人工智能、机器学习、深度学习与强化学习全面解析 ## 一、核心概念关系图解 ``` 人工智能(AI) │ └── 机器学习(ML) │ ├── 深度学习(DL) │ └── 强化学习(RL) ``` ## 二、详细概念解析 ### 1. 人工智能(Artificial Intelligence) **定义**：通过计算机模拟人类智能的技术与系统 **核心特征**： - 模拟人类认知功能(学习、推理、问题解决) - 成为人类智慧的"容器" - 被认为

2025-08-17 04:58:37

专注Web及移动安全[红日安全71期]

# Web及移动安全综合教学文档 ## 一、Web安全核心知识 ### 1.1 文件上传漏洞 - **漏洞原理**：未严格校验上传文件类型、内容及路径 - **攻击方式**： - 上传WebShell脚本(如.php, .jsp) - 利用解析漏洞(如IIS6.0分号截断) - 修改Content-Type绕过检测 - **防御措施**： - 白名单文件类型校验 - 文件内容检测(魔术字节) - 随机重命名上传文件 - 禁用脚本执行权限 ### 1.2 XXE漏

2025-08-17 04:57:46

Security+认证812分轻松考过（备战分享）

# Security+认证备考指南 ## 一、课程学习阶段 1. **报名与课程安排** - 推荐报名安全牛课堂的Security+认证培训 - 课程形式：直播班（示例为每周一三五晚上在线学习） - 使用教材：谷安Security+认证培训讲义 2. **学习方法建议** - 听课期间积极与老师互动（如谷安刘老师） - 课程内容覆盖Security+考试全部范围 - 重点理解关键知识点和概念 3. **课后复习** - 每次课后立即复习Stude

2025-08-17 04:56:55

为Nginx加入一个使用深度学习的软WAF

# 为Nginx加入基于深度学习的软WAF模块教学文档 ## 一、概述本教程将指导您如何为Nginx添加一个使用TensorFlow C库的软WAF(Web应用防火墙)模块。该模块基于Naxsi开源WAF模块，通过深度学习模型来检测SQL注入和XSS攻击。 ## 二、准备工作 ### 1. 数据获取与训练 - 使用公开可用的SQL注入和XSS攻击数据集 - 训练一个CNN分类模型来识别恶意输入 - 为减少推理时间影响，使用CPU运行推理过程 - 参考文章：[使用CNN做SQL和XSS

2025-08-17 04:46:29

专注Web及移动安全[红日安全72期]

# Web及移动安全综合教学文档 ## 一、Web安全核心知识 ### 1.1 SQL注入与WAF绕过 #### SQL注入基础 - 通过构造恶意SQL语句破坏正常查询逻辑 - 常见注入点：用户输入、URL参数、HTTP头、Cookie等 #### WAF绕过技术(上) - 注释符绕过：`/*!*/`、`-- `、`#` - 大小写混合：`SeLeCt`代替`select` - 内联注释：`/*!50000select*/` - 等价函数替换：`substring`→`mid`→`sub

2025-08-17 04:45:46

通过Webshell远程导出域控ntds.dit的方法

# 通过Webshell远程导出域控ntds.dit的方法 ## 概述本文详细介绍了在已获取域管理员凭据的情况下，通过Webshell远程导出Active Directory数据库文件(ntds.dit)和SYSTEM文件的方法。这种方法适用于渗透测试中无法直接获取反向shell的情况。 ## 前提条件 1. 已控制一台加入域的Windows机器(LABONE - 192.168.56.101) 2. 拥有域管理员凭据(用户名:user1，密码:ica_1046) 3. 目标域控机器(

2025-08-17 04:44:16

SecWiki周刊（第259期）

# 网络安全技术周刊深度解析与教学指南 ## 一、安全事件与行业动态 ### 1.1 数据泄露事件分析 - **中国大陆航空客户数据泄露**：暗网出现大量疑似航空客户数据售卖，涉及个人信息如姓名、身份证号、联系方式等 - **应对措施**： - 立即启动数据泄露应急响应流程 - 通知受影响用户并建议修改密码 - 加强数据库访问控制和审计日志监控 - 实施数据脱敏技术保护敏感信息 ### 1.2 支付安全风险专项排查 - **央行支付安全排查要点**： - 支付接口安全防

2025-08-17 04:43:38

跳转到页