网络安全

PortSwigger SQL注入LAB11欢迎来到PortSwigger SQL注入的LAB11，这道LAB在某些地方跟LAB10是非常相似的，那么我们现在开始吧:

Cisco ASA防火墙 NAT实验：源NAT+目的NAT（Trust/Untrust双区域，无DMZ）ASA规则：Trust(100)默认可以主动访问Untrust(0)，Untrust默认无法主动入Trust 实验两个目标： 1）源NAT（内网PC上网）：10.1.1.2访问202.1.1.2，源IP转换成202.1.1.1 2）目的NAT（外网访问内网发布服务）：外网访问202.1.1.1:80 → 映射到内网10.1.1.2:80

每日安全情报报告 · 2026-06-03数据采集时间：2026年6月3日 08:00 (UTC+8) 覆盖范围：近48小时新增高危漏洞、公开PoC、安全资讯风险级别标注：🔴 严重 (CVSS ≥ 9.0) ｜ 🟠 高危 (CVSS 7.0–8.9) ｜ ⚠️ 在野利用

好靶场_初学者训练营_OWASP_TOP10XSS、CSRF、命令执行太简单就没写就是执行sql命令flag{8e179390812e47bb917745f7ca5c10e0}

IP归属地查询API实战指南：快速获取IP地址定位、运营商与风险信息在互联网应用开发过程中，IP地址是识别用户来源的重要基础数据。无论是用户注册、访问统计、广告投放、风控系统还是网络安全分析，都离不开IP归属地查询能力。

基于CNN的异常流量监测系统的设计与实现随着网络攻击手段的日益复杂，传统基于签名的入侵检测技术难以有效应对未知威胁。网络流量异常检测通过建立正常行为基线、识别偏离基线的异常流量，在主动防御方面具有重要价值。本文设计并实现了一套基于卷积神经网络（Convolutional Neural Networks，简称CNN）的异常流量监测系统。系统将数据包元数据转化为文本表征，经TF-IDF向量化后输入一维CNN进行二分类，实现了从流量采集、模型训练、模型评估到在线/离线检测的完整流程。系统采用PyQt5构建图形界面，支持PCAP解析、实时回放、合成流量

WildSync：通过Wild API 使用恢复实现自动化 Fuzzing Harness 合成“ 在现代模糊测试（Fuzzing）中，测试套件的质量往往直接决定了漏洞挖掘的深度与效率。然而，在真实工业代码中，API 使用方式复杂、多样且高度依赖上下文，人工编写 Harness 成本高昂，自动生成方法又常常缺乏对真实使用场景的理解。

基于Python的Web命令执行漏洞自动化检测系统随着互联网技术的快速发展，Web应用已经成为信息系统的重要组成部分。然而，Web应用的安全问题日益突出，其中命令执行漏洞作为一种常见的Web安全漏洞，对系统安全构成严重威胁。目前针对命令执行漏洞的研究主要集中在两个方面，基于规则的静态代码分析方法，通过分析源码中危险函数调用发现潜在漏洞。基于模糊测试的动态检测方法，通过向应用程序注入大量变异数据触发异常行为。然而，这些方法存在明显的局限性，静态分析方法容易产生误报，且难以适应复杂的运行时环境。动态检测方法准确率较高但检测效率低下且覆盖面有限，难以应对大规模

世界尽头与你

JavaMelody 未授权访问漏洞受影响版本：JavaMelody 全版本（默认配置下均存在此风险）可能泄漏的内容包括：利用 action 参数获取敏感数据，JavaMelody 监控页面通过 action 与 part 参数控制展示内容，攻击者可遍历常见 part 名称：

Unix 通配符注入攻击：从参数污染到命令执行Unix 通配符注入（Wildcard Injection）是一种被严重低估但长期有效的攻击技术。当系统命令使用 * 等通配符处理文件时，攻击者可通过构造包含特殊字符（尤其是以 - 开头的）文件名，将文件名"伪装"成命令参数注入到命令行中，从而实现权限篡改、任意命令执行等高危操作。本文结合经典论文与实战场景，系统分析 tar、rsync、zip、chown、chmod 等常见命令的通配符注入原理、利用手法及防御方案。

四种 NAT 类型详解｜透彻理解 NAT 穿越原理（全锥 / 受限锥 / 端口受限锥 / 对称 NAT）日常上网、IPSec VPN、P2P 组网、流媒体打洞都绕不开 NAT 类型。很多人困惑：为啥 UDP 容易穿透 NAT、TCP 很难 P2P 直连？GRE / 原生 ESP 无法过运营商 CGN？根源就是后端 NAT 实现规范不同。本文基于标准 RFC3489 分类，结合统一实验拓扑、报文实例拆解 4 类 NAT 工作逻辑，区分「内网主动上网」和「外网主动入站 P2P 穿透」两大场景，同时联动 IPSec NAT-T、GRE 隧道知识点。

基于网络爬虫的XSS漏洞检测系统的设计与实现随着互联网技术的迅猛发展和Web应用的广泛普及，网络安全威胁日益严重，其中跨站脚本（XSS）攻击已成为Web应用中最常见的漏洞类型之一。根据OWASP最新安全威胁报告，XSS漏洞在各类Web安全漏洞中始终排名前列，给企业和个人用户带来了巨大的安全风险。传统的XSS漏洞检测方法主要依赖人工代码审计，效率低下且容易遗漏漏洞，难以应对大规模Web应用的检测需求，故设计并实现一个基于网络爬虫的自动化XSS漏洞检测系统。该系统能够自动爬取目标网站、分析潜在注入点、生成测试Payload并执行漏洞检测，最终生成详细的

每日安全情报报告 · 2026-06-02

酉鬼女又兒

零基础入门计算机网络：第一章概述全解（三种交换方式+八大性能指标+体系结构分层+十年考研真题精讲）计算机网络是支撑现代互联网运行的核心技术，也是计算机专业的核心课程。对于零基础的同学来说，第一章 "概述" 是搭建整个知识体系的基石，它不仅介绍了计算机网络的基本概念和核心设计思想，还为后续学习 TCP/IP 协议、路由交换、网络安全等内容打下了坚实基础。

云安全助手

高防IP是什么？原理是什么？简单说，高防 IP 就是个 “安全中转站”，专门帮你的服务器挡 DDoS 这类网络攻击。你把服务器的真实 IP 藏起来，让用户和攻击流量都先经过这个高防 IP，相当于给服务器加了层 “安全缓冲”。

02-【高校】校园网等保三级架构🧠拓扑・全局洞察 | 🔐安全・纵深防御 📡节点・边界管控 | ⚙️架构・持续优化目录〇、整体概述

基于网络爬虫的Web敏感信息泄露自动化检测工具随着互联网技术的快速发展，Web应用已成为企业和个人日常业务的重要载体。然而，Web应用中敏感信息泄露问题日益严重，给用户隐私和企业安全带来严重威胁。传统的安全检测工具存在操作复杂、结果呈现碎片化、技术门槛高等问题，难以满足中小企业和安全团队的实际需求。本文设计并实现一款基于网络爬虫的可视化Web敏感信息泄露自动化检测工具。工M具采用Python语言作为核心开发环境，基于Flask框架构建RESTful API接口，通过Scrapy爬虫框架实现目标资产探测与数据采集，利用正则表达式匹配、NLP语义分析实现

内网渗透-Windows RDP凭证的抓取和密码破解Credentials的解密是Windows系统信息收集中非常重要的一环，其中包括各类敏感、重要的凭证（这个可以理解

【PolarCTF】狗黑子的RCE这里需要绕过2个地方1、gouheizi1不能出现正则匹配中的命令2、gouheizi2会被str_place将gouheizi替换为空，但是在第二个if中又需要这个gouheizi字符串太能执行system

安全小白wula

RCE远程代码/命令执行基础讲解攻击者可直接向后台服务器注入恶意命令，依托 Web 服务程序权限执行系统指令、读写服务器文件；还可通过反弹 Shell 获取服务器控制权，以此开展内网渗透，横向拓展攻击范围。