web安全

侃谈科技圈

网联盾御：以技术筑牢数字防线守护企业网络安全新生态在数字经济飞速迭代、网络威胁持续升级的今天，网络安全已成为企业生存发展的核心竞争力，更是数字化转型的必经之路。北京网联盾御科技有限公司（以下简称“网联盾御”）深耕网络安全领域，凭借专业的技术实力、定制化的解决方案和全方位的服务保障，为各行业客户搭建坚不可摧的数字安全屏障，助力企业在数字化浪潮中稳健前行。

SSRF漏洞：服务器端请求伪造的攻击与防御作者：浅木·先生来源：「浅木·先生」| 知识星球「软件测试成长圈」所属专栏：《Web安全工程师进阶之路》

HTB - Reactor··· 最近太忙嘞，忙里抽空打了一下，望各位见谅 ···nmap扫描nmap详细扫描我们进一步查看3000端口，访问

白雪落青衣

Upload-Labs-Linux文件上传漏洞这里上传文件我们可以打开检查，可以看到该页面对上传文件做了相关的限定，但是只是在前端页面进行了相关的验证，后端不知道，但是我们可以试试绕过前端的校验，可以在设置中禁用javascript，也可以进行burpsuite进行抓包

政务网站自我监测的主要内容及推荐工具政务网站作为政府信息公开、政务服务和政民互动的重要窗口，其运行质量直接关系到政府公信力和服务效能。开展网站自我监测是各级政府单位落实网络安全和信息化责任、提升网站建设管理水平的重要手段。

一拳一个娘娘腔

【SRC漏洞挖掘系列】第09期：XXE与反序列化 —— 当XML和Java开始“吃”代码上期回顾：我们用 SSRF 借刀杀人，打进了内网。本期难度直线上升，我们将挑战两个让程序员闻风丧胆的“贵族漏洞”——XXE 和反序列化。

【Web安全】-企业资产信息收集（2）：子域名查询，小程序和APP收集❄️专栏传送门：《C语言》《数据结构与算法》《Web安全》 🌟Gitee仓库：《C语言》《数据结构与算法》

学习日志（三）【php语法学习，iscc校赛wp】https://www.runoob.com/php/php-variables.html数组是一个能在单个变量中存储多个值的特殊变量。

BUUCTF-WEB详细解题攻略第二页(按解出数降序排序)正在更新步骤1：启动靶机并测试页面功能点击BUUCTF页面中的启动靶机按钮复制生成的靶机地址（格式如http://node4.buuoj.cn:28080/）

PHP无参RCE这个正则是整道题的关键，我们拆解来看：正则的作用：它只匹配纯字母加括号组成的无参函数调用，且允许函数嵌套。例如：a(b(c())) 会被匹配，替换为空后，剩余 ;，通过判断进入 eval。

你觉得脆皮鸡好吃吗

HTTP 状态码体系（AI）

微软Exchange Server曝高危零日漏洞：朝鲜黑客利用“Toast攻击“入侵企业邮件系统2024年10月21日，青岛讯——企业邮件安全领域再度拉响警报。微软本周紧急披露，其Exchange Server产品存在一处已被野外利用的零日漏洞，攻击者仅需发送一封精心构造的邮件，即可在目标用户的浏览器中执行任意代码。安全专家将此威胁等级评定为"刻不容缓"，并直言本地部署Exchange的时代正在加速终结。

npm遭遇大规模供应链投毒：@antv生态被植入Shai-Hulud后门，全球开发者需紧急排查5月19日凌晨，不少开发者的构建流水线还在静默运转，一场针对npm生态的精准打击却已悄然完成。攻击者成功拿下了"atool"这一维护者账户的访问权限，随后向数十个广受欢迎的JavaScript包推送了带毒版本。从数据可视化图表库到React组件封装器，恶意代码顺着正常的版本更新流入了全球数百万开发者的本地环境与CI/CD节点。

内网渗透之横向移动实战在红队渗透测试中，当我们通过 Web 渗透拿到边界服务器的权限后，往往不会止步于此 —— 内部网络中还隐藏着更多的核心资产，比如存储着企业所有账号信息的域控制器。而横向移动，就是我们从边界主机出发，一步步渗透到内网核心、最终拿下域控权限的核心技术。

AI时代的个人隐私与网络安全自保——从账号密码到设备行为的完整体系一个很多人没做但很简单的事：去搜索一下自己的真实姓名、手机号、家庭住址，看看哪些信息已经公开在网上。知道自己的暴露面，才知道要重点保护什么。

云手机手游搬砖梦境护卫队《梦境护卫队》是一款休闲养成和策略塔防游戏，适合利用云手机进行手游搬砖，随着近期测试服的更新，梦境护卫队这款游戏的“搬砖”潜力彻底藏不住了，梦境护卫队的核心机制是“梦境探索”，这玩意儿极其消耗体力，但产出的“星尘”和“稀有梦境碎片”是硬通货。

白雪落青衣

BUU SQL COURSE 1 sql注入这里分析，存在两个分析点登录界面和新闻界面这里可以先试一下登陆界面是否存在sql注入，但是经过测试不存在，可以通过通用的sql注入语句测试，从而分析到主要点不在登录，那就可能是新闻页面的，我们在点击新闻的时候，这里后面的代码处理是直接在数据库中进行搜索呈现，可以看到存在？id的形式

BUUCTF-WEB详细解题攻略1(按解出数降序排序)目录[极客大挑战 2019]EasySQL[极客大挑战 2019]Havefun[ACTF2020 新生赛]Include

其实防守也摸鱼

软件安全与漏洞--软件安全测试为你系统梳理了软件安全测试章节的全部核心知识点，构建了一个从基础理论、测试方法到执行流程的完整知识框架。

数字供应链安全产品选型

2025年Gartner中国安全技术成熟度曲线解读：软件供应链安全从“过热”到“落地”的演进之路Gartner自2022年起连续四年（2022-2025）在其《Hype Cycle for Security in China》报告中将软件成分分析（SCA）列为软件供应链安全的关键技术代表。随着Log4j、Spring4Shell等漏洞的爆发，以及国内《网络安全法》《关键信息基础设施安全保护条例》及信创供应链审查政策的推进，软件供应链安全经历了资本追捧、技术同质化竞争，再到理性落地的完整周期。本文基于Gartner 2025年最新曲线，深入剖析软件供应链安全在“过热期”之后进入“实质性生产 plate