爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

Web安全|未授权漏洞访问

# 未授权访问漏洞全面解析与防御指南 ## 1. MongoDB未授权访问漏洞 ### 漏洞简介 MongoDB默认安装后未启用认证(--auth参数)，导致任何人都可以无需认证直接访问数据库服务器。默认情况下admin数据库为空，即使启用了--auth参数，在未添加用户前仍可进行任何操作。 ### 攻击演示 1. 使用可视化工具(如Robo 3T)直接连接MongoDB服务器 2. 无需任何认证即可查看、修改、删除所有数据库 ### 防御方法 1. **启用认证**： ```ba

2025-08-17 02:11:49

CCBN2019｜融媒体时代智慧广电的网络安全建设

# 融媒体时代智慧广电的网络安全建设教学文档 ## 一、背景与现状 ### 1.1 广电行业面临的网络安全挑战 - 技术发展带来的风险：5G、IoT、IPv6、大数据、云计算等新技术在广电行业的应用 - 网络环境变化：从封闭网络向互联互通转变 - 风险点增加：每一个终端都可能成为攻击入口 - 主要威胁类型： - 节目播出中断 - 内容被篡改 - 敏感数据泄露 ### 1.2 典型安全事件案例 - 国内：温州有线数字电视系统被非法攻击推送反动宣传内容 - 韩国：多家主流电视台因黑

2025-08-17 02:10:30

【缺陷周话】第27期：不安全的随机数

# 不安全的随机数缺陷分析与防范指南 ## 1. 不安全的随机数概述随机数在计算机安全领域有着广泛的应用，特别是在密码学中。然而，不正确的随机数生成方式会导致严重的安全漏洞。 ### 1.1 常见的不安全随机数实现在Java中，常见的错误做法包括： - 使用`java.util.Random`类生成随机数 - 使用可预测的种子值 - 依赖伪随机数生成器(Pseudo-Random Number Generator, PRNG) ### 1.2 安全关键场景以下场景必须使用安全的

2025-08-17 01:59:47

SecWiki周刊（第264期）

# 网络安全技术周刊（第264期）深度解析与教学文档 ## 一、商业银行渗透测试体系建设 ### 1.1 商业银行安全测试框架 - **体系构建原则**：合规性（PCI DSS、银监会要求）、全面性（覆盖所有业务系统）、持续性（定期测试） - **测试范围**： - 网银系统、手机银行、ATM系统、核心业务系统 - 第三方支付接口、SWIFT网络连接 - 内部办公网络和员工终端 ### 1.2 渗透测试方法论 - **测试流程**： 1. 信息收集（资产发现、服务识别）

2025-08-17 01:58:49

.NET高级代码审计（第五课）.NET Remoting反序列化漏洞

# .NET Remoting反序列化漏洞分析与复现 ## 一、漏洞概述 .NET Remoting应用程序在特定配置下存在反序列化安全风险，当服务端使用HTTP信道中的SoapServerFormatterSinkProvider类作为信道接收器，并且将TypeFilterLevel属性设置为Full时，攻击者可以利用反序列化漏洞实现远程代码执行(RCE)。 ## 二、.NET Remoting基础概念 ### 2.1 基本定义 .NET Remoting是一种分布式应用解决方案，允

2025-08-17 01:56:52

专注Web及移动安全[红日安全77期]

# Web及移动安全综合教学文档 ## 一、Web安全核心知识 ### 1.1 SQL注入攻击与防御 - **盲注技术**：通过布尔型和时间型盲注技术获取数据库信息 - **WAF绕过**：使用sqlmap的tamper脚本修改技术绕过Web应用防火墙 - **防御措施**： - 参数化查询 - 输入验证 - 最小权限原则 ### 1.2 XSS漏洞分析 - **ECShop 4.0反射型XSS**：分析特定电子商务平台的跨站脚本漏洞 - **攻击向量**：构造恶意输入触发脚本

2025-08-17 01:56:01

就业形势如此严峻，如何完美跳槽？

### 网络安全行业入门与进阶认证指南（基于Security+/CCSK/CISP-PTE认证体系） --- #### **一、行业背景与认证价值** 当前就业形势严峻，网络安全行业对专业认证的需求显著提升。以下3大认证适合工作年限不足3年的从业者或转行者，兼顾含金量与准入门槛： 1. **Security+** - **国际认可度**：全球147个国家认可，中国四大信息安全认证之一（与CISSP/CISA/CISP并列）。 - **核心能力**：覆盖

2025-08-17 01:55:17

挖洞经验 | 一次对GitHub Wiki页面的把玩测试

# GitHub Wiki 页面安全分析与防护指南 ## 1. GitHub Wiki 页面概述 GitHub Wiki 是 GitHub 为每个项目提供的多人协作编辑功能，类似于维基百科： - 默认开启状态 - 允许项目成员或协作者编辑 - 使用 Markdown 语法编写内容 - 位于项目页面的"Wiki"选项卡下 ## 2. 安全隐患分析 ### 2.1 主要安全问题 1. **默认权限问题**： - 新建项目时 Wiki 默认开启 - 默认允许任何 GitHub 用

2025-08-17 01:54:27

再次牵手！睿眼为海关总署网络信息安全长城添砖加瓦

# 中睿天下与海关总署网络安全合作教学文档 ## 1. 合作背景 - **时间节点**： - 首次合作：2017年 - 再次签约：2019年3月 - **合作双方**： - **中睿天下**：网络安全解决方案提供商 - **海关总署信息中心**：国务院直属正部级机构，负责全国海关工作 ## 2. 产品部署情况 ### 2.1 首次合作产品：睿眼·web防护系统 - **部署时间**：2017年 - **核心能力**： - 卓越的"威胁发现"能力 - 强大的"溯源

2025-08-17 01:53:46

挖洞经验 | 利用跨站WebSocket劫持（CSWH）实现账户劫持

# 跨站WebSocket劫持(CSWH)漏洞分析与利用指南 ## 1. WebSocket技术基础 ### 1.1 WebSocket协议概述 - **协议特性**：HTML5推出的新协议，与HTTP协议独立但基于HTTP进行握手 - **持久化连接**：与HTTP的非持久连接不同，WebSocket提供持久化连接 - **全双工通信**：类似TCP连接，支持双向实时通信 - **协议切换**：从`http://`或`https://`切换到`ws://`或`wss://` ### 1.

2025-08-17 01:53:03

利用SSRF泄漏云环境中的Metadata数据进一步实现RCE

# 利用SSRF漏洞泄漏云环境Metadata数据并实现RCE的完整指南 ## 漏洞概述本教程将详细介绍如何通过SSRF(Server-Side Request Forgery)漏洞获取云环境(特别是AWS)中的Metadata数据，并进一步升级为远程代码执行(RCE)的完整过程。 ## 测试环境发现 1. **目标识别**：在对目标站点进行子域枚举时发现`docs.redact.com`子域 2. **异常端点发现**：在统计数据的照片中发现可疑链接，包含以下参数： - `ur

2025-08-17 01:52:12

【缺陷周话】第28期：被污染的内存分配

# 被污染的内存分配 - 代码安全审计详解 ## 1. 概念与背景被污染的内存分配（Uncontrolled Memory Allocation）是指当内存分配函数的长度参数来自于不可信源且未经验证时，可能导致系统分配过大内存的安全缺陷。 **CWE编号**: CWE-789 **常见内存分配函数**: - `malloc()` - `kmalloc()` - `smalloc()` - `xmalloc()` - `realloc()` - `calloc()` - `Globa

2025-08-17 01:51:19

跳转到页