爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

聚焦HITB + CyberWeek 2019 ¦ 云端黑盒模型安全伪命题？攻击只需2步！

# 云端黑盒模型安全攻击技术教学文档 ## 1. 背景介绍深度学习模型容易受到对抗样本(Adversarial Examples)的攻击，这在业内已不是新鲜事。攻击方式主要分为： - **白盒攻击**：攻击者知晓模型的架构和参数，能针对性地生成对抗样本 - **黑盒攻击**：攻击者不了解模型内部架构和参数，需要通过大量查询来发现破绽传统黑盒攻击需要大量查询（如2017年研究显示需要高达10万次查询才能达到95.5%置信度），使得云端黑盒模型被认为相对安全。 ## 2. 传统攻击方法

2025-08-16 08:50:36

ATT&CK中的进程注入三部曲

# ATT&CK中的进程注入技术详解 ## 概述进程注入是恶意软件常用的技术手段，主要目的是为了躲避杀毒软件的检测或进行提权操作。本文将详细解析Mitre ATT&CK矩阵中的三种典型进程注入手法：经典进程注入(DLL注入)、Process Hollowing和Process Doppelgänging。 ## 第一曲：经典进程注入(DLL注入) ### 技术原理这是最为经典和简单的进程注入手段，流程清晰明了： 1. **OpenProcess** - 打开目标进程 2. **V

2025-08-16 08:49:53

PHP远程代码执行漏洞预警（CVE-2019-11043）

# PHP远程代码执行漏洞(CVE-2019-11043)技术分析与防护指南 ## 漏洞概述 CVE-2019-11043是一个存在于PHP-FPM组件中的远程代码执行漏洞，由PHP官方于2019年9月26日披露。该漏洞源于PHP-FPM的`fpm_main.c`文件中`env_path_info`的下溢问题，攻击者可利用此漏洞在特定配置环境下实现远程代码执行。 ## 受影响组件 ### PHP-FPM简介 PHP-FPM(FastCGI Process Manager)是PHP的Fa

2025-08-16 08:39:05

Sqlmap自动化注入（dvwa从low到high）

# SQLMap自动化注入攻击DVWA从Low到High级别全面指南 ## 一、DVWA环境准备 1. 设置DVWA安全级别为Low 2. 打开DVWA的SQL Injection或SQL Injection (Blind)模块 3. 通过浏览器调试工具查看请求 ## 二、Low级别注入 ### 1. 识别注入点 - 请求方式：GET - 示例URL：`http://192.168.1.222:8089/dvwa/vulnerabilities/sqli/?id=1&Submit=Sub

2025-08-16 08:38:27

YUNUCMSv2.0.4代码审计日常分享

# YUNUCMS v2.0.4 安全漏洞分析与教学文档 ## 1. 系统概述 YUNUCMS 是一款基于 ThinkPHP 开发的内容管理系统，在 v2.0.4 版本中存在多个安全漏洞，官方已在 v2.0.5 版本中修复这些问题。 ## 2. 文件包含漏洞导致 Getshell ### 漏洞位置 - 文件路径：`app/index/controller/Index.php` - 方法：`buildHtml` - 是否需要登录：否 ### 漏洞分析 ```php public fun

2025-08-16 08:37:44

VulnHub靶机学习——Eric

# VulnHub靶机Eric渗透测试教学文档 ## 靶机概述 - **靶机名称**: Eric - **难度等级**: 初级 - **目标**: 获取两个flag文件(/root/flag.txt和/home/eric/flag.txt) - **运行环境**: - 攻击机: Kali Linux - 靶机: Eric (运行于VM VirtualBox中) - **网络设置**: NAT模式 ## 信息收集阶段 ### 1. 网络扫描使用nmap进行主机发现和端口扫描:

2025-08-16 08:36:55

DVWA渗透测试之旅与代码分析

# DVWA渗透测试与代码分析教学文档 ## 1. DVWA概述 DVWA (Damn Vulnerable Web Application) 是一个用于安全测试的脆弱Web应用程序，包含多种常见漏洞类型： - 暴力破解 - SQL注入 - XSS跨站脚本攻击 - 文件上传 - 文件包含 - CSRF - 命令注入 - 不安全的验证码 DVWA为每个漏洞模块提供四种安全级别：低(Low)、中(Medium)、高(High)、不可能(Impossible)。 ## 2. 暴力破解漏洞

2025-08-16 08:36:16

DeepExploit：使用深度强化学习的全自动渗透测试工具

# DeepExploit：基于深度强化学习的全自动渗透测试工具教学文档 ## 1. 概述 DeepExploit是一款与Metasploit集成的全自动渗透测试工具，采用深度强化学习技术实现智能化的漏洞利用。其主要特点包括： - **高效攻击执行**：使用机器学习实现精准攻击（通常只需1次尝试） - **深度渗透能力**：成功利用漏洞后会继续攻击内部网络中的其他服务器 - **自主学习能力**：通过强化学习自主掌握漏洞利用方法，无需人工准备训练数据 - **快速学习**：采用多代理分布式

2025-08-16 08:35:00

SecWiki周刊（第297期）

# 网络安全技术周刊深度解析与教学文档 ## 一、网络安全行业深度思考 ### 1.1 行业本质分析 - 网络安全本质是风险管理与信任建立 - 技术发展驱动安全边界不断变化 - 从被动防御向主动防御、预测防御演进 ### 1.2 未来发展趋势 - 云安全、物联网安全、AI安全将成为重点领域 - 零信任架构(Zero Trust)将逐步取代传统边界防御 - 安全自动化与智能化程度将大幅提升 ## 二、中国网络安全细分领域矩阵(2019.11) ### 2.1 主要细分领域 - 终端安全

2025-08-16 08:33:41

最后一个登录框引起的血案

# 登录框安全测试实战指南 ## 0x00 管理后台隐藏的注册接口 ### 漏洞原理许多系统后台虽然移除了前端显示的注册功能，但注册接口可能仍然存在于后端代码中未被删除。 ### 测试方法 1. 手动修改URL路径尝试常见注册接口： - 将`login`改为`reg`、`register`或`sign` - 例如：`/login` → `/reg` 2. 观察开发人员命名习惯，灵活调整测试关键词（如首字母大写：`Reg`、`Register`） ### 实战案例 - 某系统

2025-08-16 08:32:21

DVWA开启渗透测试之旅与代码分析（二）

# DVWA渗透测试与代码分析：SQL注入与XSS跨站脚本漏洞详解 ## 1. SQL注入漏洞分析 ### 1.1 SQL注入基本概念 SQL注入是指通过把SQL命令插入到Web表单提交或输入域名/页面请求的查询字符串，最终欺骗服务器执行恶意SQL命令的攻击方式。这种漏洞可能导致获取网站管理员权限，特别是针对MSSQL数据库。 ### 1.2 Low级别SQL注入 **漏洞代码分析**： ```php $id = $_GET['id']; $query = "SELECT first_

2025-08-16 08:31:35

Snort入侵检测系统的应用

# Snort入侵检测系统在工业控制系统中的应用 ## 1. 工业控制系统安全背景随着"中国制造2025"等国家战略的推进，工业控制系统面临以下安全挑战： - 从封闭独立走向开放互联 - 传统IT安全威胁渗透到工业控制网络 - 工控协议漏洞被公开利用 - 缺乏有效的安全防护措施 ## 2. PfSense防火墙基础 ### 2.1 PfSense简介 PfSense是基于FreeBSD的开源防火墙/路由器系统，具有以下特点： - 提供商业防火墙才具备的高级功能 - 可通过Web界

2025-08-16 08:30:44

跳转到页