网络安全

一岁天才饺子

Redis漏洞复现Webshell是heike渗透后植入到网站服务器上的恶意脚本文件,他提供了一个web界面的命令行控制台,让攻击者能够远程控制服务器.有大马小马等多种形式.

内网横向移动？横向移动是从一个受控的主机迁移到另一个主机的过程。进入内部网络之后，常常利用被攻陷的主机作为跳板，继续访问或控制内网中的其他机器，直至获取机密数据或者控制关键资产。横向移动包括用来进入内部网络和控制网络上的远程系统的技术。通常需要借助内网代理来探测内网中存活的资产，并确定最终的攻击目标，然后通过收集到的用户凭据，利用各种远程控制技术对目标发起攻击。

网安_秋刀鱼

【java安全】shiro反序列化1（shiro550）Shiro 550 是 Apache Shiro 1.2.4 及以下版本中，因「记住我（RememberMe）」功能设计缺陷导致的反序列化远程代码执行漏洞。其核心成因可概括为：

SSL/TLS协议深度解析：记录、警报与握手SSL/TLS记录协议位于协议栈的关键位置，为上层协议提供透明的安全服务。从分层架构看，它建立在可靠的传输协议（如TCP）之上，为应用层协议（如HTTP）提供保密性和完整性保障。

世界尽头与你

CVE-2022-21697_ Jupyter Server 代码问题漏洞CVSS评分：6.3CVE-2022-21697 是一个影响 Jupyter Server Proxy 的服务器端请求伪造（SSRF）漏洞。该扩展常用于 Jupyter Server / Notebook 环境中，用来代理 web 服务请求。

材料工程科技期刊征稿：快速发表，知网、维普检索！《工程与技术研究》系开放获取期刊，主要刊登工程科学领域基础理论研究和实验研究方面的科研成果。本刊支持思想创新、学术创新，倡导科学，繁荣学术，集学术性、思想性为一体，旨在给世界范围内的科学家、学者、科研人员提供一个传播、分享和讨论工程科学领域不同方向问题与发展的交流平台。

“昨晚快手被黑直播平台出现大量违规内容“技术解析12月22日晚，快手平台多个直播间突然被色情、暴力等违规内容刷屏，平台一度被迫关停直播功能。随后，快手官方回应称，当晚10点左右，平台遭到了黑灰产的“饱和式攻击”，短时间内有1.7万个账号同步发力，瞬间冲击平台的内容审核系统。目前平台已紧急修复，并向公安机关报警，相关情况也已上报监管部门。

Wisdom Lens：基于智能体的自动化漏洞挖掘系统Wisdom-Lens 是一个基于大语言模型（LLM）智能体的自动化漏洞挖掘系统，旨在解决传统模糊测试（Fuzzing）过度依赖人工专家、成本高昂、覆盖率低等核心痛点。系统通过构建多智能体协同框架，将 LLM 的代码生成、推理分析与自动化工具链深度融合，实现了从项目分析 → 目标识别 → Harness 生成 → 模糊测试 → 崩溃分析 → 报告生成的全流程闭环，效率提升超百倍。

三七吃山漆

攻防世界——Web_php_wrong_nginx_config扫出了6个可访问的端口[20:50:27] 301 - 178B - /admin -> http://61.147.171.35/admin/ [20:50:28] 200 - 73B - /admin/admin.php [20:50:29] 200 - 15B - /admin/ [20:50:31] 200 - 15B - /admin/index.php [20:51:03] 301 - 178B - /images -> http://61.147.171.35/images/ [20:51:

❾⁄₄ ⟦ OSCP ⬖ 研记 ⟧ 防病毒软件规避 ➱ 内存中的逃避技术（上）郑重声明：本文所涉安全技术仅限用于合法研究与学习目的，严禁任何形式的非法利用。因不当使用所导致的一切法律与经济责任，本人概不负责。任何形式的转载均须明确标注原文出处，且不得用于商业目的。

若尘啊若辰

安全通用要求之六安全管理制度目录1 安全策略2 管理制度3 制定和发布4 评审和修订应制定网络安全工作的总体方针和安全策略，阐明机构安全工作的总体目标、范围、原则和安全框架等。

【Frida Android】实战篇17：Frida检测与绕过——基于inline hook的攻防实战⚠️本博文所涉安全渗透测试技术、方法及案例，仅用于网络安全技术研究与合规性交流，旨在提升读者的安全防护意识与技术能力。任何个人或组织在使用相关内容前，必须获得目标网络 / 系统所有者的明确且书面授权，严禁用于未经授权的网络探测、漏洞利用、数据获取等非法行为。

小迪第42课：PHP应用&MYSQL架构&SQL注入&跨库查询&文件读写&权限操作SQL 注入产生的根本原因：接收的参数值未经过过滤，直接拼接进 SQL 语句并被数据库执行配置示例：风险：

SSL/TLS体系结构SSL/TLS是一种密码通信框架，作为世界上使用最广泛的密码通信方法，它综合运用了对称密码、消息认证码、公钥密码、数字签名、伪随机数生成器等密码学技术，堪称密码学领域的集大成者。

小快说网安

等保测评技术检测要点：网络与数据安全核心指标实操指南2025版等保测评新规进一步细化了技术检测标准，其中网络与数据安全核心指标占比提升至62%，成为企业合规通过的关键门槛。不少企业因对指标深层要求理解不足，导致高风险项整改反复，效率低下。结合最新测评实践，以下拆解核心指标的实操要点与深层问题解决方案。网络安全检测核心聚焦三类指标。一是访问控制，新规要求跨区域访问必须开启二次验证，这也是30%企业卡壳的关键——并非未配置验证功能，而是未覆盖容器、云服务器等新型资产。实操需先完成全资产梳理，通过工具自动识别跨区域访问链路，精准配置验证规则。二是入侵防范，需重

防火墙技术-综合应用实验任务一：某企业采用防火墙作为出口网关，企业内网有两个部门：市场部和研发部，PC1代表市场部的主机，PC2代表研发部的主机。要求市场部全天可以上公网，研发部8：00到17：00不能上公网。所有上公网的数据流，在防火墙上配置NAT出接口方式转换。

关于代理的一些网络知识复盘ping在网络层，检测的是基础连通性，不通可能是：ip错误、禁ping、主机网络错误 nc是在传输层，测试tcp连接，不通可能是：火墙、ACL、端口错误、端口无服务、只监听本地（绑在127.0.0.1而不是0.0.0.0）

重生之我在番茄自学网安拯救世界

网络安全中级阶段学习笔记（十一）：服务器解析漏洞全解析(原理、利用与防御)本文所有知识点仅用于网络安全防御技术学习，测试手段仅可在合法授权的测试环境中使用。如需复现漏洞，可使用 phpStudy 搭建本地靶机测试环境，模拟不同服务器版本进行验证。未经授权侵入他人系统、窃取信息属违法行为，将承担相应法律责任。网络安全的核心是 “攻防兼备”，掌握攻击手段的同时，更要牢记防护使命，共同维护网络空间安全。

世界尽头与你

CVE-2021-40438_ Apache HTTP Server mod_proxy 模块 SSRF漏洞CVSS评分：9.0漏洞详细分析：简单说说mod_proxy 架构：mod_proxy 是一个框架，具体协议由 mod_proxy_http、mod_proxy_fcgi、mod_proxy_ajp 等子模块实现。每个子模块会注册自己的 canon handler 来把配置或请求 URL 规范化，最终生成 r->filename 这样的中间表示（以 proxy: 开头的字符串），供后续代理逻辑使用。

攻防世界-Misc-Wire11.sql注入流量分析附件为pcapng流量包，用wireshark打开，搜索flag，追踪tcp流。