web安全

攻防世界： mfw本文知识点随意点击网页，发现可能存在文件包含漏洞。如下图使用php伪协议同样是这样的结果，如下图：点击about，发现提示使用了git，因此考虑到能不能使用GitHack下载源码。

2025年UDP洪水攻击防护实战全解析：从T级流量清洗到AI智能防御在2025年，UDP洪水攻击的规模和复杂性都在持续升级，但防护技术也同样取得了显著进展。下面我将为您全面解析从攻击原理到前沿防御方案的实战指南。

xd_day47文件上传-day55xss第47天：WEB攻防-PHP应用 - my-kon-blog嘻嘻，学到了，文件上传开心，值了apache 2.4.10

德迅云安全杨德俊

安全加速SCDN防护原理及其与DDoS攻击的协同防御策略方案在当今数字化时代，企业业务高度依赖网络服务，网络安全问题日益突出。DDoS攻击通过海量恶意流量淹没目标服务器，导致服务中断、数据泄露等严重后果，已成为企业亟需解决的关键问题。安全加速SCDN（安全内容分发网络）作为集内容加速与安全防护于一体的解决方案，通过分布式节点、智能流量清洗等技术，结合DDoS攻击特征识别与防御机制，构建了多层次的协同防御体系。今天我们就来探讨安全加速SCDN的防护原理及其与DDoS攻击的协同防御策略，为用户提供全面的网络安全保障。

蜂蜜黄油呀土豆

深入了解 JWT：无状态认证与集群部署的解决方案在现代 Web 应用和微服务架构中，JWT（JSON Web Token）已成为一种广泛使用的身份认证和授权标准。它通过无状态的方式传递信息，使得用户能够跨多个服务进行认证和授权。与传统的基于会话的身份验证方式不同，JWT 提供了更加灵活、轻量且可扩展的认证机制。

2026年渗透测试面试题总结-5（题目+回答）安全领域各种资源，学习文档，以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具，欢迎关注。

上海云盾安全满满

入侵防御系统与入侵检测系统的核心区别一、入侵防御系统的核心定义与核心定位入侵防御系统（IPS）是一种部署于网络边界或关键业务节点的主动式网络安全防护设备，其核心定位是实时监测、精准识别、主动阻断网络攻击。它能够深度嵌入网络传输链路之中，对所有流经的网络数据包进行实时、全面的解析与检测，依托内置的庞大威胁特征库和先进的智能分析引擎，精准识别出隐藏在正常流量中的各类恶意攻击行为，包括但不限于恶意代码注入、SQL注入、跨站脚本攻击、DDoS攻击等。与传统被动防护设备不同，入侵防御系统最大的特点在于具备主动干预能力，能够在攻击行为对网络系统、服务器

薛定谔的猫喵喵

【从零构建】PHP网络安全渗透测试靶场：5大基础漏洞实战本文将从零开始，教你搭建一个完整的PHP渗透测试靶场，包含SQL注入、XSS、文件上传等5大常见漏洞，并提供详细的复现步骤和防护方案。

小迪安全2023-2024|第102天：漏洞发现-漏扫项目篇&Poc开发&Yaml语法&插件一键生成&匹配结_笔记|web安全｜渗透测试｜案例1：CVE-2023-28432：类型：信息泄露漏洞检测方式：发送POST请求检查返回内容匹配条件：检查响应中是否包含

每天看一种漏洞类型，oss存储桶第一天的收入是0块钱刚毕业大学生，回家躺平的第8天，网络安全收入40块钱2025，1，14，mou天第一个收入，40块钱

数据为王——安全数据集的清洗与特征工程你好，我是陈涉川。这是专栏的第五篇，也是整个“破晓”模块中承上启下的关键篇章。如果说算法是引擎，算力是燃料，那么数据就是引擎的图纸与燃料的配方。在网络安全领域，模型的上限完全由数据的质量决定（Data-Centric AI）。

思考笔记 | 为什么需要“获取CDN后面的真实IP”问题思考：CDN（内容分发网络）会将网站内容缓存到全球各地的服务器，隐藏原始服务器的真实IP。在安全测试中，测试的对象是CDN还是真实IP，会影响到漏洞验证的结果。

无名的小三轮

华为eNSP中USG6000防火墙web界面登录设置1. 导入包的获取下载链接：https://blog.csdn.net/IU131313/article/details/132792422（感谢大佬）

ctfshow-web262（也是一篇非纯正题解，记录的是个人的一些思路和想法【虽然也没啥想法】）进去之后看到的是这些东西：这里可以看到有一个是str replace，是将fuck改为loveU，然后写在msg里面，后面又把这个设为一个cookie并进行base64编码，其实我刚开始的时候也是很懵的，这个序列化的msg好像没什么用，然后在想会不会有什么其他的东西，于是dirsearch扫了一下，发现了这么一个：

混合云管理平台的 “隐形雷区”：越权与 XSS 漏洞的攻防之道目录漏洞无小事：越权与 XSS 的 “破坏性” 远超想象1. 越权漏洞：权限边界的 “破窗效应”2. XSS 漏洞：输入框里的 “恶意陷阱”

Sqli-Labs Less4：双引号字符型 SQL 注入详解|靶场|网络安全你作为网络安全初学者，希望我详细讲解sqli-labs-master/Less-4靶场的完整解题过程，并且拆解其中的难点知识点、补充扩展内容。Less-4是双引号+括号闭合的字符型SQL注入，和Less-3的核心区别仅在于闭合符号（Less-3是单引号+括号，Less-4是双引号+括号），但新手容易因符号混淆踩坑，下面我会从“注入点判断→闭合方式分析→信息爆破”一步步讲透，重点对比Less-3的差异，帮你举一反三。

TryHackMe-SOC-Section 8: web安全监控从桌面应用到网络应用的转变已经持续了几十年。20世纪90年代，由于速度和网络连接的限制，桌面应用是主流。随着网络技术的进步，21世纪初，动态网络应用得到了更广泛的应用，涵盖了电子邮件、社交媒体和银行业务等领域。2010年代，云计算和软件即服务（SaaS ）蓬勃发展，如今，几乎所有事情都可以通过浏览器完成。

攻防世界： fileinclude理解上述代码的意思后，大致的思路就是：发送请求的时候，带上cookie，想办法控制lan变量的值。根据网页的提示，我们需要的文件是flag.php。

攻防世界： catcat-new本文知识点：常用的系统文件的作用flask伪造session的生成可以借助这个工具进行生成：https://github.com/noraj/flask-session-cookie-manager, 具体的使用见后文。

小李独爱秋

计算机网络经典问题透视：试比较先进先出排队（FIFO）、公平排队（FQ）和加权公平排队（WFQ）的优缺点在数字信息如洪流般奔涌的今天，计算机网络已成为现代社会的神经系统。从高清视频会议到云端数据同步，从在线游戏到物联网设备通信，无数的数据包在复杂的网络中穿梭。然而，网络链路的带宽是有限的，当数据包的到达速率超过链路的处理能力时，就会发生拥塞。此时，网络设备（如路由器、交换机）如何决定哪些数据包优先通过，哪些需要等待，甚至哪些将被丢弃，就成了一个至关重要的问题。