网络安全

【Frida Android】实战篇17：Frida检测与绕过——基于inline hook的攻防实战⚠️本博文所涉安全渗透测试技术、方法及案例，仅用于网络安全技术研究与合规性交流，旨在提升读者的安全防护意识与技术能力。任何个人或组织在使用相关内容前，必须获得目标网络 / 系统所有者的明确且书面授权，严禁用于未经授权的网络探测、漏洞利用、数据获取等非法行为。

小迪第42课：PHP应用&MYSQL架构&SQL注入&跨库查询&文件读写&权限操作SQL 注入产生的根本原因：接收的参数值未经过过滤，直接拼接进 SQL 语句并被数据库执行配置示例：风险：

SSL/TLS体系结构SSL/TLS是一种密码通信框架，作为世界上使用最广泛的密码通信方法，它综合运用了对称密码、消息认证码、公钥密码、数字签名、伪随机数生成器等密码学技术，堪称密码学领域的集大成者。

小快说网安

等保测评技术检测要点：网络与数据安全核心指标实操指南2025版等保测评新规进一步细化了技术检测标准，其中网络与数据安全核心指标占比提升至62%，成为企业合规通过的关键门槛。不少企业因对指标深层要求理解不足，导致高风险项整改反复，效率低下。结合最新测评实践，以下拆解核心指标的实操要点与深层问题解决方案。网络安全检测核心聚焦三类指标。一是访问控制，新规要求跨区域访问必须开启二次验证，这也是30%企业卡壳的关键——并非未配置验证功能，而是未覆盖容器、云服务器等新型资产。实操需先完成全资产梳理，通过工具自动识别跨区域访问链路，精准配置验证规则。二是入侵防范，需重

防火墙技术-综合应用实验任务一：某企业采用防火墙作为出口网关，企业内网有两个部门：市场部和研发部，PC1代表市场部的主机，PC2代表研发部的主机。要求市场部全天可以上公网，研发部8：00到17：00不能上公网。所有上公网的数据流，在防火墙上配置NAT出接口方式转换。

关于代理的一些网络知识复盘ping在网络层，检测的是基础连通性，不通可能是：ip错误、禁ping、主机网络错误 nc是在传输层，测试tcp连接，不通可能是：火墙、ACL、端口错误、端口无服务、只监听本地（绑在127.0.0.1而不是0.0.0.0）

重生之我在番茄自学网安拯救世界

网络安全中级阶段学习笔记（十一）：服务器解析漏洞全解析(原理、利用与防御)本文所有知识点仅用于网络安全防御技术学习，测试手段仅可在合法授权的测试环境中使用。如需复现漏洞，可使用 phpStudy 搭建本地靶机测试环境，模拟不同服务器版本进行验证。未经授权侵入他人系统、窃取信息属违法行为，将承担相应法律责任。网络安全的核心是 “攻防兼备”，掌握攻击手段的同时，更要牢记防护使命，共同维护网络空间安全。

世界尽头与你

CVE-2021-40438_ Apache HTTP Server mod_proxy 模块 SSRF漏洞CVSS评分：9.0漏洞详细分析：简单说说mod_proxy 架构：mod_proxy 是一个框架，具体协议由 mod_proxy_http、mod_proxy_fcgi、mod_proxy_ajp 等子模块实现。每个子模块会注册自己的 canon handler 来把配置或请求 URL 规范化，最终生成 r->filename 这样的中间表示（以 proxy: 开头的字符串），供后续代理逻辑使用。

攻防世界-Misc-Wire11.sql注入流量分析附件为pcapng流量包，用wireshark打开，搜索flag，追踪tcp流。

一岁天才饺子

SSRF漏洞绕过与漏洞解决gopher协议是在www出现之前在Internet上最主要的信息检索工具，也是信息查找系统，将Internet上的文件构成索引，将用户从一端带到另一端。

fastjson 原生反序列化配合动态代理绕过限制对于动态代理，只记得 cc1 接触过一次，然后就没有怎么碰到过了，而且动态代理似乎利用面还是比较广的，许多关键时刻都会使用到，这里正好来重新学习学习，还记得入门 java 的时候动态代理就学了半天，感觉确实很抽象

Webgoat-(A1)Broken Access Control：Hijack a session本文所涉及的任何技术、信息或工具，仅供学习和参考之用，请勿将文章内的相关技术用于非法目的，如有相关非法行为与文章作者无关。请遵守《中华人民共和国网络安全法》。

CVE-2025-24813 Tomcat 最新 RCE 分析复现漏洞概况Tomcat 是一个开源的、轻量级的 Web 应用服务器和 Servlet 容器。它由 Apache 软件基金会下的 Jakarta 项目开发，是目前最流行的 Java Web 服务器之一。该漏洞利用条件较为复杂，需同时满足以下四个条件：

2025年国内精细化、可交互、轻量级的泛监测体系产品推荐（提示：本节从宏观视角概括行业趋势，为后续的评估框架与厂商推荐奠定基础。）2025年国内数据安全平台正从“堆叠式安全工具”向“精细化、可交互、轻量级的泛监测体系”转型。随着《数据安全法》《个人信息保护法》及《网络数据安全管理条例》持续推进，企业不再满足于单点审计、被动告警，而是将安全能力融入业务链路，以可视、可操作、可迭代的方式构建全生命周期数据治理体系。行业呈现三大趋势：精细化监测能力成为标配：基于AI、图计算、多模态识别实现“字段级、接口级、用户行为级”三维穿透，敏感数据识别准确率从传统的80%跃升至

【Geek渗透之路】小迪安全笔记——web安全（3）IIS是基于windows自带的web应用服务，IIS是互联网信息服务，是微软提供的基于Windows的网页服务组件，支持ASP、FTP、SMTP等功能.

晚风(●•σ )

【华为 ICT & HCIA & eNSP 习题汇总】——题目集271、某企业需要在网络边界部署一种防火墙，要求其能够基于 IP 地址、端口号和协议类型（如TCP/UDP）进行访问控制，且对网络性能影响较小。此类防火墙最可能工作在以下哪一层？ A、网络层 B、传输层 C、应用层 D、网络层和传输层

攻防世界-Misc-Miscellaneous-2001.RGB值转图片附件为一堆数据，猜测为RGB值，转为图片。

攻防世界-Misc-4-11.盲水印附件为一张图片，foremost或binwalk最终提取出了两张看起来一样的图片。根据前面的提示猜测为盲水印。

一带一路(金砖)--网络安全防护治理赛项免责声明：本文仅作分享！侵必删对题目的整理搜集，其他自便。2025目录环境拓扑：模块一：网络安全设备

Bruce_Liuxiaowei

网站敏感文件_目录大全（分类记忆+风险标注）「配置备份日志，管理源码敏感，服务器临时」（对应8大核心类别，每个类别记1-2个关键词即可快速联想）配置类：config、env、yml、php（核心关键词，后缀/前缀通用）