web安全

SQLi-Labs Less-2 通关教程（数字型GET注入）Less-2 与 Less-1 的核心差异在于参数拼接方式：数字型注入无需闭合引号，直接构造UNION、ORDER BY等语句即可，这是Web安全中最基础、最易利用的注入类型之一。

【红队渗透】Cobalt Strike（CS）红队详细用法实战手册做渗透测试，必须严格遵守以下原则：Cobalt Strike 是红队专属的协同式渗透测试 C2（Command & Control）平台，主打隐蔽化长期控制、域环境深度渗透、团队协同作战、流量伪装免查杀，是红队内网渗透、护网行动的核心控制中枢。

落寞的魚丶

第二届全国网络安全行业赛-电子取证师复赛R03（其他赛区）1ff3636f27529b9250fe71a8b1562083534a2770仿真计算机，安装 vmtools 把everything 传入然后搜“客户”

【工具类】kali linux 安装 openclaw + 配置大模型 + 接入飞书 + 提示词注入实验本课程/笔记及相关技术内容仅限合法授权场景使用，严禁一切未授权的非法行为！1. 适用场景限制请务必遵守法律法规，技术向善，共同维护网络安全环境！如发现安全漏洞，请通过合法渠道上报（如CNVD、厂商SRC）

网络安全编程——PHP基础Cookie详细讲解今天开始，PHP基础这类型的文章主要是为了我之后学习代码审计打基础，先了解最基本的代码以及函数用法；cookie 常用于识别用户。cookie 是一种服务器留在用户计算机上的小文件。每当同一台计算机通过浏览器请求页面时，这台计算机将会发送 cookie。通过 PHP，能够创建并取回 cookie 的值。

zsteg的安装与使用（kali环境）背景： zsteg是基于Ruby开发的一款检测PNG与BMP中隐写数据的工具，其工作原理是它通过读取像素颜色的二进制最后一位来提取隐藏信息（LSB隐写），这种方法要求图像数据是无损或准无损的，因此基于有损压缩算法DCT得到的JPG中的隐写信息提取则不能用Zsteg。目前最稳定的方法是通RubyGems（Ruby的包管理器）进行安装。

春秋云境CVE-2016-71241.阅读靶场信息这里我们可以得到的信息就是序列化沿着这个方向我们开启靶场吧2.开启靶场靶场如上图所示第一行：highlight_file("/var/www/html/index.php") - 显示当前文件的源代码

网络安全编程——PHP基础Session详细讲解提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档PHP session 变量用于存储关于用户会话（session）的信息，或者更改用户会话（session）的设置。Session 变量存储单一用户的信息，并且对于应用程序中的所有页面都是可用的。

上海云盾安全满满

云原生环境该怎样解决网络安全问题云原生技术，以微服务、DevOps、持续交付、容器化等特征而著称，其高度开放、灵活可编排的特性，为现代应用架构带来了革命性的变革。微服务架构使得应用得以原子化，极大提升了系统的可伸缩性和可维护性，但同时也带来了工作负载规模的急剧增长。微服务间的频繁交互使得容器间的东西向流量呈现指数级增长，对网络性能和安全性提出了更高要求。

德迅云安全-小潘

智能风暴：2026年网络安全进入“AI对攻”时代如果说过去的网络安全是一场攻防双方的军备竞赛，那么到了2026年，这场竞赛的规则已经被彻底重写——因为武器本身学会了思考。

SwordfishSuite | Web 安全测试平台智能代理、流量拦截、负载扫描和强大的插件系统SwordfishSuite 是一款受 Burp Suite 启发的现代化 Web 安全测试平台。它集成了智能代理、流量拦截、负载扫描和强大的插件系统，旨在为安全研究人员和渗透测试工程师提供一款高效、可定制的应用利器。

iOS 网络安全认证：Token / MD5 / RSA 简明指南在做 iOS 网络请求时，接口安全基本绕不开三个方案：很多刚接触后台接口的同学会有一个疑问：这三种到底有什么区别？什么时候用哪个？

SQLi-Labs Less-3 通关教程（单引号+括号字符型GET注入）Less-3 与 Less-1 的核心差异在于参数包裹格式：此类注入需先通过报错判断闭合格式，再构造')完成闭合，否则SQL语句会因语法错误无法执行，这是真实场景中最常见的字符型注入变体之一。

记一次攻防演练redis未授权访问案例kkFileView为文件文档在线预览解决方案，该项目使用流行的spring boot搭建，易上手和部署，基本支持主流办公文档的在线预览。

【Web安全】URL跳转漏洞：XSS与未授权访问延伸危害在【Web安全】逻辑漏洞之URL跳转漏洞：原理、场景与防御已经对URL跳转漏洞进行了基础的介绍，但是近期在渗透中发现由该漏洞引发其他形式的问题，因此本文进行补充。

[羊城杯2020]easyphp打开题目便是一段代码.htaccess（Hypertext Access）文件是 Apache 服务器的一个配置文件，它允许用户在目录级别上对服务器进行配置，而无需修改主服务器配置文件。通过 .htaccess 文件，可以实现诸如 URL 重写、访问控制、文件类型映射MIME 类型以及文件处理程序等功能。

观书喜夜长

XSS 入门实战：反射型、存储型、DOM 型原理与防御（DVWA 靶场）前置条件：已完成 DVWA 环境搭建（参考前文 SQL 注入文章） ⚠️ 警告： XSS 可窃取用户会话和隐私，仅限本地离线靶场测试。

SQLi-Labs Less-4 通关教程（双引号+括号字符型GET注入）Less-4 是字符型注入的典型变体，与前3关的核心差异在于参数包裹格式：此类注入的关键是通过报错判断引号类型（双引号）和括号包裹，再针对性构造闭合语句，是真实渗透中高频出现的场景（如开发者习惯用双引号包裹字符串参数）。

OpenClaw自动化渗透测试初试牛刀最近OpenClaw被吹的很火，实际上就是一个调度工具，你用Claude，Codex，甚至你自己写脚本都是一样的，不用特别神化这个东西。但是他有一些自己的优化和初始能力确实很好用，降低了使用门槛。并且可视化页面也给人一种亲近的感觉。所以我们带着学习的角度来试试他的初始能力。

Upload-Labs 第1至第10关通关教程（更新中。。。）Upload-Labs 是一个专注于文件上传漏洞练习的开源靶场，旨在帮助网络安全初学者深入理解各类文件上传漏洞的成因、利用方式及防御措施。该靶场通过设置不同难度和类型的关卡，模拟了真实Web应用中常见的安全缺陷，涵盖了从前端校验到服务端解析的多种攻击场景。