web安全

一岁天才饺子

Redis漏洞复现Webshell是heike渗透后植入到网站服务器上的恶意脚本文件,他提供了一个web界面的命令行控制台,让攻击者能够远程控制服务器.有大马小马等多种形式.

网安_秋刀鱼

【java安全】shiro反序列化1（shiro550）Shiro 550 是 Apache Shiro 1.2.4 及以下版本中，因「记住我（RememberMe）」功能设计缺陷导致的反序列化远程代码执行漏洞。其核心成因可概括为：

数字护盾（和中）

BAS模拟入侵攻击系统：前置防控核心，守护企业网络安全数字化时代，网络威胁持续升级，黑客攻击手段愈发隐蔽、精准，企业数据泄露、系统瘫痪、业务中断等安全事件频发，给企业带来巨额经济损失与品牌声誉损害。在此背景下，被动防御已难以抵御多变的网络威胁，主动探测、预判风险成为企业网络安全建设的核心诉求。而BAS（模拟入侵攻击系统）作为网络安全领域的核心技术工具，正以专业的攻防模拟能力，助力企业提前发现安全漏洞，筑牢主动防御防线。

卓豪终端管理

每周5小时“隐形流失”，如何精准锁定并回收？在数字化的办公环境中，一个常被忽视的数据触目惊心：员工平均每周花费约5小时访问与工作无关的应用和网站。这种“数字分心”累积起来，对中型企业而言，意味着每年数百万元的生产力无声蒸发。

三七吃山漆

攻防世界——Web_php_wrong_nginx_config扫出了6个可访问的端口[20:50:27] 301 - 178B - /admin -> http://61.147.171.35/admin/ [20:50:28] 200 - 73B - /admin/admin.php [20:50:29] 200 - 15B - /admin/ [20:50:31] 200 - 15B - /admin/index.php [20:51:03] 301 - 178B - /images -> http://61.147.171.35/images/ [20:51:

聚焦汽车网安落地！2026汽车网络安全标准及应用研讨会强标落地・实战赋能当汽车智能化、网联化浪潮席卷行业，网络安全、功能安全及研发流程合规性已成为企业生存发展的“必修课”。2026 年 1 月，汽车网络安全强标即将正式实施，广大车企及零部件企业却普遍面临 “标准认知不足、合规落地无门” 的困境 —— 如何精准解读 ASPICE、ISO 26262、ISO 21448、ISO/SAE 21434 等核心标准？如何打通从法规要求到工程实践的全链路？如何实现多标准融合开发，提升研发质量与产品安全？

Imagetragick 命令注入漏洞扫描ImageMagick 命令注入漏洞（CVE-2016-3714）是 2016 年曝光的高危远程代码执行（RCE）漏洞，影响当时主流版本的 ImageMagick 工具 —— 这是一款全球广泛使用的开源图像处理库，支持 PNG、GIF、SVG 等上百种图像格式，被 PHP、Python 等语言的 Web 应用、服务器工具（如图片上传功能）大量集成。

解密网络安全基石：SSL、TLS与HTTPS的前世今生在互联网时代，数据传输的安全性早已成为重中之重。当我们在浏览器地址栏看到小锁图标，或访问以“https://”开头的网站时，背后其实是一套成熟的安全技术在保驾护航——这就是SSL、TLS与HTTPS。它们看似相近，实则各有定位，共同构成了现代网络通信的安全屏障。

￥懒大王￥

XSS-Game靶场教程源码分析：没做任何的限制，输入xss-payload，window.alert检测到弹窗进入下一关源码分析

Pikachu | SSRFSSRF（server-side request forgery，服务器端请求伪造）,在存在url包含的地址中，因服务器未对请求的目标地址做严格校验，攻击者利用服务器的合法请求能力诱导服务器向攻击者指定的目标（内网/外网、敏感服务）发送请求并获取请求结果。可突破网络边界，实现内网探测，敏感信息泄露甚至远程代码执行。

关于代理的一些网络知识复盘ping在网络层，检测的是基础连通性，不通可能是：ip错误、禁ping、主机网络错误 nc是在传输层，测试tcp连接，不通可能是：火墙、ACL、端口错误、端口无服务、只监听本地（绑在127.0.0.1而不是0.0.0.0）

重生之我在番茄自学网安拯救世界

网络安全中级阶段学习笔记（十一）：服务器解析漏洞全解析(原理、利用与防御)本文所有知识点仅用于网络安全防御技术学习，测试手段仅可在合法授权的测试环境中使用。如需复现漏洞，可使用 phpStudy 搭建本地靶机测试环境，模拟不同服务器版本进行验证。未经授权侵入他人系统、窃取信息属违法行为，将承担相应法律责任。网络安全的核心是 “攻防兼备”，掌握攻击手段的同时，更要牢记防护使命，共同维护网络空间安全。

重生之我在番茄自学网安拯救世界

网络安全中级阶段学习笔记（十二）：PHP 文件包含漏洞全解析（原理 + 利用 + 防御）本文所有知识点仅用于网络安全防御技术学习，测试手段仅可在合法授权的测试环境中使用。未经授权侵入他人系统、窃取信息属违法行为，将承担相应法律责任。网络安全的核心是 “攻防兼备”，掌握攻击手段的同时，更要牢记防护使命，共同维护网络空间安全。

渗透测试——靶机DC-5详细渗透getshell过程休息了一个周末，今天继续我们的学习；给大家带来靶机DC-5详细渗透getshell过程；这个靶机主要是利用安装在主机上的应用程序RCE漏洞来进行越权，所以在日常生活中提醒我们要及时更新软件的版本，避免出现危险；

德迅云安全-小潘

网络威胁演变与态势感知的防御一、引言：网络安全，一场没有终局的攻防战在信息技术飞速发展的当下，网络安全已不再只是技术问题，而是关乎个人隐私、企业生存乃至国家安全的战略性议题。近年来，全球范围内频发的网络攻击事件，不断刷新我们对威胁形态的认知，也迫使各行各业重新思考：在日益复杂和隐蔽的攻击面前，我们应当如何构建真正主动、智能且可持续的防御体系？

Webgoat-(A1)Broken Access Control：Hijack a session本文所涉及的任何技术、信息或工具，仅供学习和参考之用，请勿将文章内的相关技术用于非法目的，如有相关非法行为与文章作者无关。请遵守《中华人民共和国网络安全法》。

CVE-2025-24813 Tomcat 最新 RCE 分析复现漏洞概况Tomcat 是一个开源的、轻量级的 Web 应用服务器和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发，是目前最流行的 Java Web 服务器之一。该漏洞利用条件较为复杂，需同时满足以下四个条件：

德迅云安全-小潘

网络空间资产安全发展演进与实践框架网络空间资产安全的概念与实践始于20世纪80至90年代互联网的早期阶段。随着计算机技术和网络接入的普及，各类安全事件逐渐增多，推动社会开始系统性关注信息基础设施的防护。这一时期，以防火墙、入侵检测系统和防病毒技术为代表的基础防御手段成为主流，政府部门与企业组织亦逐步建立起相应的安全管理机制并增加资源投入。

多模态大模型实战：从零实现CLIP与电商跨模态检索系统摘要：本文将撕开多模态大模型的技术面纱，完全从零实现OpenAI CLIP架构，并构建一个支持千万级商品的电商跨模态检索系统。完整代码涵盖Vision Transformer图像编码器、Transformer文本编码器、对比学习损失函数等核心模块，提供海量商品数据增强策略、难负样本挖掘、混合精度训练等生产级优化。实测在Product10K数据集上零样本检索Recall@1达0.823，微调后提升至0.967，延迟控制在15ms以内。

【Geek渗透之路】小迪安全笔记——web安全（3）IIS是基于windows自带的web应用服务，IIS是互联网信息服务，是微软提供的基于Windows的网页服务组件，支持ASP、FTP、SMTP等功能.