web安全

上海云盾-小余

恶意爬虫精准拦截：网站流量净化与资源守护方案流量特征分析通过分析访问频率、请求头完整性、IP分布等特征识别爬虫行为。高频访问、缺失User-Agent或Referer、单一IP多账号操作等均为典型特征。建立动态基线模型，实时比对异常流量模式。

small_white_robot

（Win）文件上传数据流绕过-面试常考之前一篇文章已经对简单的文件上传绕过做出总结：文件上传绕过保姆篇，这篇主要是一些更高级的绕过，算是平时未涉及的一些补充

2026.5.20 资产信息收集工具ENscan的配置与使用下载软件链接：https://pan.quark.cn/s/55ce8cb7fb54?pwd=KgAA 提取码：KgAA

一拳一个娘娘腔

【SRC漏洞挖掘系列】第04期：文件上传与解析——把图片变成“特洛伊木马”上期回顾：我们刚用 SQL 注入把数据库翻了个底朝天。本期我们来聊聊更暴力的漏洞——文件上传。如果说 SQL 注入是“偷”，那文件上传就是直接往人家服务器里安炸弹。💣

SQL注入深度解析笔记：从DNSlog外带到高级绕过技术前言：该博客是上篇SQL注入方式的补充，DNSLOG外带、cookie注入等，阐述了各注入方式的原理，后面有具体的靶场演示展示。

DVWA通关教程1本博客所有网络安全相关教程、漏洞原理、渗透实操、攻防技术等内容，仅用于合法安全学习、白帽技术交流、企业授权安全测试。所有技术严禁用于未授权探测、非法入侵、数据窃取、网络攻击等任何违反《中华人民共和国网络安全法》的违法行为。任何个人利用本文内容实施违规操作，所产生的一切法律责任与后果均由当事人自行承担，与本人无关。倡导正向网络安全学习，坚守白帽底线，共建清朗网络环境。

【计算机网络系列 3/3】网络安全与性能优化：HTTPS、WebSocket、负载均衡实战导语：在分布式系统中，安全与性能是两大核心命题。如何保障敏感数据不被窃听？如何实现毫秒级的实时消息推送？如何应对高并发下的流量洪峰？本文将从生活化类比出发，结合Spring Boot实战代码，带你深入理解HTTPS加密、WebSocket通信、CDN加速、负载均衡以及常见安全防护策略，并手把手教你设计一个高并发秒杀系统。

Day03 Web应用&OSS存储&负载均衡&CDN加速&反向代理&WAF防护&部署影响WAF（Web应用防火墙）：是一种专门设计用于保护 Web 应用程序免受恶意攻击的安全设备，它能够实时监控、过滤和拦截可能对网站造成危害的网络流量，从而避免网站服务器被恶意入侵，导致性能异常、数据泄露、服务中断这些问题。

RCE漏洞的原理详细讲解并基于pikachu靶场的实战演戏再讲rce漏洞之前问大家一个问题你们肯定听说过一句话木马后门文件这些词汇吧那你们知道他们是利用什么进行攻击的吗

【Web安全】SRC平台深度解析：从CNVD到企业SRC的漏洞挖掘指南在网络安全领域，SRC（Security Response Center，安全应急响应中心）是连接白帽子与厂商的重要桥梁。通过SRC平台，安全研究者可以将发现的漏洞合法提交给厂商，获得现金奖励、荣誉积分甚至CVE编号。本文将从国家级漏洞库CNVD、通用型/事件型漏洞、教育SRC、漏洞盒子、补天平台以及企业SRC六个维度，系统讲解各平台的特点、漏洞提交流程及实战技巧。无论你是安全新手还是资深白帽子，本文都能帮助你快速上手漏洞挖掘与提交。

谷歌云使用的几个常见注意事项我之前帮一位初学后端的朋友排查过一次服务异常问题，他把本地跑通的web服务搬到了谷歌云上，结果启动之后始终无法正常访问，翻了好几份中文教程都没找到问题，折腾了快三个小时才来找我。我登上去看了不到十分钟就找到了原因，其实就是一个非常基础的配置漏项，很多第一次接触的人都会在这里踩坑。

春秋云境CVE-2022-28512（手工注入和sqlmap自动）保姆级教学1.阅读靶场介绍这里我们可以得到的信息就是三个关键字眼第一个是路径/single.php第二个是参数id

OpenClaw与Axure联动：自动生成原型图组件、批量修改原型样式，提升设计效率OpenClaw 与 Axure 深度联动：自动化组件生成与批量样式修改的革命性实践摘要：在当今快速迭代的产品设计领域，原型设计作为连接产品构想与最终实现的桥梁，其效率与质量直接影响着项目进度和用户体验。Axure RP 作为业界领先的原型设计工具，以其强大的交互能力和丰富的组件库深受设计师喜爱。然而，在大型项目或高频迭代场景下，手动创建组件、逐一调整样式等工作依然耗费大量精力。OpenClaw，作为一个新兴的设计自动化与集成平台，通过与 Axure 的深度联动，为解决这些痛点提供了创新方案。本文将深入

【案例学习】黑帽大会 BingBang 案例复盘：Azure AD 配置失误攻陷 Bing⚠️本博文所涉安全渗透测试技术、方法及案例，仅用于网络安全技术研究与合规性交流，旨在提升读者的安全防护意识与技术能力。任何个人或组织在使用相关内容前，必须获得目标网络 / 系统所有者的明确且书面授权，严禁用于未经授权的网络探测、漏洞利用、数据获取等非法行为。

网络安全：如何构建坚不可摧的防线？每天平均超过2090次攻击，数据泄露平均损失488万美元——这是我作为10年运维总监每天要面对的数字（数据来源：SentinelOne《2026年数据泄露统计报告》、Check Point Research 2026年1月监测数据）。很多人问我：防线真的能坚不可摧吗？我的回答是：不存在100%攻不破的系统，但存在让攻击者付出极高代价、将损失压缩到最低的防线。本文结合我的实战经验，拆解网络安全中最容易被低估的三个关键问题。

软考网络工程师第三部一、网络安全基础概念1. 网络安全定义保护网络硬件、软件、数据，避免破坏、篡改、泄露，保障系统稳定、服务不中断。包含三类：设备安全、软件安全、信息安全

还是做不到嘛＼.

BUUCTF在线评测（web部分题）web的命令注入这个页面后台可能执行 ping -c 4 [你的输入] 的系统命令首先，先试试能不能拼接

【Web安全】JWT常见安全漏洞总结⚠️本博文所涉安全渗透测试技术、方法及案例，仅用于网络安全技术研究与合规性交流，旨在提升读者的安全防护意识与技术能力。任何个人或组织在使用相关内容前，必须获得目标网络 / 系统所有者的明确且书面授权，严禁用于未经授权的网络探测、漏洞利用、数据获取等非法行为。

信息安全工程师-网站安全顶层认知：威胁、需求与防护体系框架网站是企业数字化业务的核心载体，同时也是网络攻击的首要目标，网站安全是软考信息安全工程师考试中应用安全领域的核心考点，在历年真题中占比约 10%-15%，覆盖选择题、案例分析题全题型。网站安全技术的发展与 Web 技术演进高度同步：1990-2000 年静态网站阶段，主要威胁为网页篡改与非授权访问；2000-2010 年动态 Web 应用普及阶段，SQL 注入、XSS 等应用层漏洞成为主要攻击向量，数据泄露风险凸显；2010 年之后移动互联网、云原生时代，DDoS 攻击、钓鱼假冒、供应链攻击成为新的安全

bugku——PWN——overflow21.今天本地部署了大模型claude，一句话直接解出来flag,惊呆了老铁😱😱😱😱题目叫做overflow2，是一道pwn题目，下载下来是一个压缩包pwn5.zip,启动了一个环境nc 160...161 12450 2.本地安装pwn环境还报错 3.看到报错你肯定觉得，我没有升级pip，但是我升级了还在报错 python -m pip install --upgrade pip