爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

【漏洞预警】jQuery 前端库出现罕见的原型污染漏洞，影响范围广泛（含技术分析）

# jQuery 原型污染漏洞 (CVE-2019-11358) 技术分析与防御指南 ## 一、漏洞概述 **CVE编号**：CVE-2019-11358 **漏洞类型**：原型污染(Prototype Pollution) **影响范围**：jQuery 3.4.0之前的所有版本 **披露时间**：2019年3月26日 **严重性**：高危 **影响面**：全球约70%的网站使用jQuery，其中许多仍在使用易受攻击的旧版本 ## 二、技术背景 ### 1. jQu

2025-08-16 23:20:20

看我如何绕过WAF的XSS检测机制

# 绕过WAF的XSS检测机制高级指南 ## 概述本文详细介绍了绕过Web应用防火墙(WAF)XSS检测机制的系统性方法，该方法由三个阶段组成：确定Payload结构、探测和混淆处理。通过分析目标WAF的正则表达式匹配机制，构造能够绕过安全检测的XSS攻击向量。 ## 前提知识 - 读者需具备XSS、HTML和JavaScript基础知识 - 文中符号说明： - `{string}`：代表Payload机制中的组件 - `{?string}`：代表可选组件 - "主要字符"

2025-08-16 23:19:14

初体验代码审计

# 代码审计初体验：FreeBuf文章分析教学文档 ## 1. 审计概述本文档基于mazihan在FreeBuf上发表的代码审计实践文章，详细解析了针对某CMS系统的审计过程和方法。 ### 审计方法 - **定向功能分析法**：针对特定功能模块进行审计 - **前台+后台功能模块流程审计** - 前台模块：内容展示、评论、搜索（重点关注数据交互部分） - 后台模块：系统配置、文件上传 ## 2. 前台功能审计 ### 2.1 文章显示流程 1. **入口文件**：`kong

2025-08-16 23:18:14

Linux入侵排查

# Linux入侵排查指南 ## 一、事件背景分析 1. **典型入侵场景**： - 服务器暴露远程端口(如SSH 22端口)到公网 - 使用弱密码(如"123456") - CPU使用率异常高(挖矿病毒典型特征) 2. **初步确认方法**： - 使用ScanPort或nmap进行全端口扫描 - 注意内网和外网扫描结果可能不同(路由器配置影响) ## 二、入侵排查流程 ### 1. 异常进程排查 ```bash # 查看CPU占用高的进程 top #

2025-08-16 23:17:41

带外通道技术（OOB）总结

# 带外通道技术(OOB)全面教学文档 ## 一、OOB技术概述带外通道技术(OOB, Out-of-Band)是一种在渗透测试中用于处理无回显漏洞的技术手段。当攻击者遇到关闭回显的漏洞(如XXE盲注、SQL盲注、反序列化无回显等)时，OOB技术提供了一种通过其他通道获取数据的方法。 ### 核心原理 - 利用脆弱实体生成带外的TCP/UDP/ICMP请求 - 通过这些请求提取数据 - 能够逃避监控、绕过防火墙并更好地隐藏攻击行为 ## 二、可回显漏洞利用 ### 1. 注入漏洞(O

2025-08-16 23:16:40

三种对CORS错误配置的利用方法

# 跨域资源共享(CORS)错误配置的利用方法详解 ## 1. CORS基础概念 ### 1.1 同源策略(SOP)的限制 - 同源策略限制应用程序之间的信息共享 - 仅允许在相同协议、域名和端口下的应用程序间共享信息 - 防止系统机密信息泄露，但也带来了跨域通信的挑战 ### 1.2 CORS的作用 - W3C标准，全称"跨域资源共享"(Cross-origin resource sharing) - 允许浏览器向跨源服务器发出XMLHttpRequest请求 - 克服AJAX只能同源使

2025-08-16 23:15:25

WebLogic接二连三被曝漏洞，到底是为啥？

# WebLogic反序列化漏洞深度分析与防御指南 ## 1. WebLogic概述 WebLogic是美国甲骨文(Oracle)公司开发的一款知名应用服务中间件，主要用于： - 开发、集成、部署和管理大型分布式系统 - 简化系统管理和部署步骤 - 广泛应用于电信、政府和金融行业 **全球分布情况**： - 全球用户规模约6.9万 - 中国境内用户约2.9万 ## 2. WebLogic反序列化漏洞历史 WebLogic历史上多次出现高危反序列化漏洞，以下是主要漏洞列表： | 漏洞编

2025-08-16 23:14:29

缓冲区溢出-原理和简单利用

# 缓冲区溢出原理与利用技术详解 ## 一、缓冲区溢出概述缓冲区溢出是一种普遍且危险的软件漏洞，存在于各种操作系统和应用软件中。当程序向缓冲区写入超过其容量的数据时，会导致相邻内存区域被覆盖，从而可能破坏程序运行、导致系统崩溃，甚至允许攻击者执行任意代码。 ## 二、缓冲区溢出原理分析 ### 1. 基本示例程序 ```c #include "stdio.h" #include "string.h" char name[] = "guangyu"; int main() {

2025-08-16 23:13:35

挖洞经验 | 与Yahoo和Paypal相关的两个独特漏洞（$5k+$3.2k）

# 雅虎IDOR与PayPal DoS漏洞分析与防御教学 ## 一、雅虎IDOR漏洞分析 ($5,000) ### 漏洞概述 **漏洞类型**：不安全的直接对象引用(Insecure Direct Object Reference, IDOR) **影响系统**：Yahoo Notepad (雅虎网络笔记) **漏洞奖励**：$5,000 ### 漏洞发现过程 1. **初始观察**： - 测试目标：https://notepad.yahoo.com - 使用Burp Sui

2025-08-16 23:02:55

代码审计 - dolphin.pro cms SQL注入漏洞，Bypass过滤规则

# Dolphin.pro CMS SQL注入漏洞分析与利用教学 ## 漏洞概述 Dolphin.pro CMS v7.4.1版本中存在SQL注入漏洞，攻击者可通过精心构造的请求绕过系统的过滤机制，实现数据库信息泄露。该漏洞位于聊天模块的`RzSetBlocked`功能中，由于参数过滤不彻底和SQL语句拼接方式不安全导致。 ## 受影响版本 - Dolphin.pro CMS v7.4.1及之前版本 - 已修复版本：v7.4.2 ## 漏洞分析 ### 漏洞位置 `/flash/m

2025-08-16 23:02:05

挖洞经验 | 利用CSRF漏洞劫持Youtube用户的通知消息

# YouTube通知服务CSRF漏洞分析与利用教学文档 ## 漏洞概述本漏洞是一个影响YouTube通知服务(Notification)的CSRF(跨站请求伪造)漏洞，攻击者可以利用该漏洞劫持其他YouTube用户的通知服务，以受害者身份接收其订阅频道或视频的最新通知。该漏洞最终获得Google官方$3133.7美金的奖励。 ## 漏洞发现过程 ### 初始发现 1. 在YouTube官网测试时发现了一个关键POST请求： ``` POST /notifications

2025-08-16 23:01:13

一种新型的Web缓存欺骗攻击技术

# Web缓存欺骗攻击技术详解 ## 1. 背景与原理 ### 1.1 Web缓存技术概述 Web缓存技术主要用于减少响应时延和减轻服务器负担，目前应用非常普遍，主要包括： - **本地缓存**：在浏览器端实现，通过F5刷新不会重新获取已缓存文件，需Ctrl+F5强制刷新 - **服务端缓存**：在CDN、负载均衡、反向代理等设备上实现（统称缓存服务器） ### 1.2 服务端缓存工作原理 1. 客户端请求静态文件 2. 若缓存服务器未缓存该文件，则向Web服务器请求 3. 获取静态

2025-08-16 23:00:05

跳转到页