爱豆文档 - 信息安全文档下载平台 - idocdown.com （部分文档，免费下载）

. . . . . .

[红日安全]Web安全Day5 - 任意文件上传实战攻防

# Web安全实战：任意文件上传漏洞攻防详解 ## 1. 文件上传漏洞概述 ### 1.1 漏洞简介文件上传漏洞是指网站WEB应用在实现文件上传功能时，未对用户提交的文件进行充分校验或过滤不严，导致攻击者可以上传恶意文件（如WebShell）并执行。 ### 1.2 漏洞原理当上传功能的实现代码没有严格校验上传文件的后缀和文件类型时，攻击者可以上传任意文件，包括可执行的后门文件。 ### 1.3 漏洞危害 - 执行恶意代码 - 控制服务器 - 进行数据库操作 - 管理服务器文件 -

2025-08-16 03:18:14

[红日安全]Web安全Day6 - 业务逻辑漏洞实战攻防

# 业务逻辑漏洞实战攻防教学文档 ## 1. 逻辑漏洞概述逻辑漏洞是由于程序逻辑设计缺陷导致的安全漏洞，这类漏洞通常： - 源于开发者的思维逻辑缺陷 - 难以通过传统防火墙/WAF进行有效防护 - 常见于各类业务系统中 - 危害程度高，影响范围广 ## 2. 常见逻辑漏洞类型 ### 2.1 账号安全相关 - 验证码暴力破解 - 任意用户密码重置 - 批量用户注册 - 用户信息枚举 ### 2.2 权限相关 - 平行越权（同级别用户间越权） - 垂直越权（低权限用户获取高权限） -

2025-08-16 03:17:22

由红日安全·星火计划·启元学堂联合发起的“抗疫专场”线上公开课

# 抗疫专场网络安全公开课教学文档 ## 课程基本信息 - **主办方**: 红日安全、星火计划、启元学堂联合发起 - **形式**: B站线上直播公开课 - **直播时间**: 2020年2月15日19:00 - **直播地址**: [https://live.bilibili.com/21809864](https://live.bilibili.com/21809864) - **所属地区**: 河北省 ## 课程背景在2020年新冠疫情期间，网络安全行业针对特殊时期的安全需求，组织

2025-08-16 03:06:33

SecWiki周刊（第311期）

# SecWiki周刊(第311期) 安全技术教学文档 ## 一、安全资讯 ### 1. RSAC 2020创新沙盒十强分析 - RSA Conference创新沙盒竞赛是网络安全行业的重要风向标 - 2020年十强公司重点关注领域： - 云安全 - 身份认证与访问管理 - 威胁检测与响应 - 数据安全与隐私保护 - 分析要点：了解当前网络安全创新趋势，把握行业技术发展方向 ### 2. 2020中国网络安全产品部署评价一览图 - 中国网络安全市场主要产品分类： - 防

2025-08-16 03:05:51

网络安全等级保护2.0之基础知识篇

# 网络安全等级保护2.0基础知识教学文档 ## 一、基本概念网络安全等级保护是指对网络（含信息系统、数据）实施： - 分等级保护、分等级监管 - 对网络安全产品实行按等级管理 - 对安全事件分等级响应、处置 ## 二、发展历程 1. **1994年**：国务院颁布《中华人民共和国计算机信息系统安全保护条例》，首次规定计算机信息系统实行安全等级保护 2. **后续发展**：发布《网络安全等级保护基本要求》、《网络安全等级保护测评要求》等新标准 3. **当前阶段**：网络安全等级保护已

2025-08-16 03:04:09

从免费的WEB应用防火墙hihttps谈机器学习之生成对抗规则过程

# 基于机器学习的Web应用防火墙hihttps工作原理详解 ## 一、hihttps简介 hihttps是一款免费的Web应用防火墙(WAF)，具有以下特点： - 支持传统WAF所有功能：SQL注入、XSS、恶意漏洞扫描、密码暴力破解、CC、DDOS等防护 - 支持无监督机器学习，能够自主对抗攻击 - 采用反向代理模式采集HTTP协议数据 - 开源项目，源码地址：https://github.com/qq4108863/hihttps/ ## 二、机器学习生成对抗规则的五个关键过程 #

2025-08-16 03:03:04

SweynTooth蓝牙漏洞影响主流系统芯片厂商设备

# SweynTooth蓝牙漏洞分析与防护指南 ## 概述 SweynTooth是一组在主流系统芯片(SoC)厂商的低功耗蓝牙(BLE)实现中发现的严重安全漏洞，由新加坡科技设计大学的研究团队发现。这些漏洞影响7家主要芯片厂商的BLE软件开发套件(SDK)，可导致设备死锁、崩溃、缓冲区溢出或安全连接绕过。 ## 受影响厂商及产品受影响的系统芯片厂商包括： - Texas Instruments - NXP - Cypress - Dialog Semiconductors - Micr

2025-08-16 03:02:05

[红日安全]Web安全Day7 - 越权非授权访问实战攻防

# Web安全实战：越权与非授权访问漏洞攻防详解 ## 一、漏洞概述 ### 1.1 越权漏洞定义越权漏洞是指用户能够操作超出自身管理权限范围的功能，执行非授权操作的安全问题。主要分为两类： - **垂直越权**：低权限用户执行高权限用户功能 - **水平越权**：同级用户间互相访问敏感信息或执行操作 ### 1.2 未授权访问定义未授权访问是指在不进行请求授权的情况下访问需要权限的功能，通常由认证缺陷、无认证或安全配置不当导致。 ## 二、漏洞原理与危害 ### 2.1 漏洞产生

2025-08-16 03:01:03

[红日安全]Web安全Day8 - XXE实战攻防

# XXE实战攻防全面指南 ## 1. XXE基础概念 ### 1.1 XML基础结构 XML文档由三部分组成： - XML声明：`` - DTD文档类型定义（可选） - 文档元素 ```xml ]> Dave Tom Reminder You are a good man ``` ### 1.2 DTD实体类型 #### 1.2.1 内部实体声明 ```xml ``` #### 1.2.2 外部实体声明 ```xml

2025-08-16 03:00:08

[红日安全]Web安全Day9 - 文件下载漏洞实战攻防

# Web安全实战：文件下载漏洞攻防详解 ## 1. 文件下载漏洞概述 ### 1.1 漏洞简介文件下载漏洞是指网站提供的文件查看或下载功能未对用户请求的文件进行严格限制，导致攻击者能够读取或下载服务器上的任意文件，包括： - 源代码文件 - 系统配置文件 - 敏感数据文件 ### 1.2 漏洞危害 - 泄露服务器敏感信息（数据库配置、系统密码等） - 获取网站源代码，便于分析其他漏洞 - 提高系统被入侵的风险 - 可能导致服务器完全沦陷 ### 1.3 漏洞利用条件 1. 存在读取文

2025-08-16 02:58:37

避免凭证转储攻击的5个技巧

# 防范凭证转储攻击的全面指南 ## 凭证转储攻击概述凭证转储是攻击者在渗透网络后获取持久访问权限的关键技术手段。攻击者通常通过网络钓鱼等方式初步入侵后，利用网络管理中的常见方法和工具获取公开凭据，进而扩大攻击范围。 ## 五大防御技巧 ### 1. 减少凭证重用 **核心措施：** - 定期检查网络账户密码是否在公开泄露的密码数据库中 - 使用Troy Hunt维护的超过5亿泄露密码数据库进行比对 - 实施密码过滤器检查网络中正在使用的密码 - 通过组策略对网络密码进行专项核查

2025-08-16 02:57:48

SSTI（模板注入）的攻防战

# 服务器端模板注入(SSTI)攻防指南 ## 一、SSTI概述 **SSTI** (Server Side Template Injection)即服务器端模板注入，是一种发生在模板引擎解析用户输入时的安全漏洞。当Web应用将用户输入直接作为模板内容的一部分进行编译渲染时，攻击者可以注入恶意模板代码，可能导致敏感信息泄露、代码执行甚至获取服务器控制权。 ## 二、模板引擎工作原理模板引擎实现了界面与数据分离、业务代码与逻辑代码分离，提升开发效率和代码重用性。但同时也扩大了攻击面。

2025-08-16 02:57:16

跳转到页