网络安全

Web渗透之SQL注入-文件读写-木马植入本文仅用于网络安全技术学习与授权测试交流。本文实验皆在靶场进行，任何未经授权使用文中技术的行为均与作者无关，请务必遵守法律法规，获得许可后方可进行渗透测试。

Web渗透之SQL注入-联合查询注入-注入点数据类型判断目录一、概念1.SQL注入的概念2.SQL注入的目的二、注入点的数据类型三、注释四、注入步骤(1) 方式一

藤原千花的败北

内网安全--基础知识我们常说渗透主要就是Web渗透和内网渗透，内网渗透是更高一级的知识。但随着知识广度的拓展，会发现很多东西其实都是一样的。

【PolarCTF】button打开页面，想要点击这个按钮，这个按钮会飞走chrome直接把JS禁止下看到这个按钮调用的是handleClick()函数

每日安全情报报告 · 2026-06-04数据采集时间：2026年6月4日 15:40 (UTC+8) 覆盖范围：近48小时新增高危漏洞、公开PoC、安全资讯风险级别标注：🔴 严重 (CVSS ≥ 9.0) ｜ 🟠 高危 (CVSS 7.0–8.9) ｜ 🟡 中危 (CVSS 4.0–6.9)

梦里捡到一只猫丶

简单的Payload加密方法之前学习MalDev Modules中的相关笔记，对其进行了简单的优化，如有错误望指正。这里讨论一种更安全的加密算法——高级加密标准 (AES)。它是一种对称密钥算法，这意味着加密和解密使用相同的密钥。AES 加密有多种类型，例如 AES128、AES192 和 AES256，它们的区别在于密钥长度。例如，AES128 使用 128 位密钥，而 AES256 使用 256 位密钥。

憧憬成为web高手

[0CTF 2016]piapiapia 脚本和总结先是信息收集得到www.zip 再是代码审计发现漏洞利用PHP反序列化–字符串逃逸利用file_get_contents() 函数调用读取config.php

03-【高校】多校区链路加解密架构🧠拓扑・全局洞察 | 🔐安全・纵深防御📡节点・边界管控 | ⚙️架构・持续优化目录一、整体拓扑说明

PortSwigger SQL注入LAB11欢迎来到PortSwigger SQL注入的LAB11，这道LAB在某些地方跟LAB10是非常相似的，那么我们现在开始吧:

Cisco ASA防火墙 NAT实验：源NAT+目的NAT（Trust/Untrust双区域，无DMZ）ASA规则：Trust(100)默认可以主动访问Untrust(0)，Untrust默认无法主动入Trust 实验两个目标： 1）源NAT（内网PC上网）：10.1.1.2访问202.1.1.2，源IP转换成202.1.1.1 2）目的NAT（外网访问内网发布服务）：外网访问202.1.1.1:80 → 映射到内网10.1.1.2:80

每日安全情报报告 · 2026-06-03数据采集时间：2026年6月3日 08:00 (UTC+8) 覆盖范围：近48小时新增高危漏洞、公开PoC、安全资讯风险级别标注：🔴 严重 (CVSS ≥ 9.0) ｜ 🟠 高危 (CVSS 7.0–8.9) ｜ ⚠️ 在野利用

好靶场_初学者训练营_OWASP_TOP10XSS、CSRF、命令执行太简单就没写就是执行sql命令flag{8e179390812e47bb917745f7ca5c10e0}

IP归属地查询API实战指南：快速获取IP地址定位、运营商与风险信息在互联网应用开发过程中，IP地址是识别用户来源的重要基础数据。无论是用户注册、访问统计、广告投放、风控系统还是网络安全分析，都离不开IP归属地查询能力。

基于CNN的异常流量监测系统的设计与实现随着网络攻击手段的日益复杂，传统基于签名的入侵检测技术难以有效应对未知威胁。网络流量异常检测通过建立正常行为基线、识别偏离基线的异常流量，在主动防御方面具有重要价值。本文设计并实现了一套基于卷积神经网络（Convolutional Neural Networks，简称CNN）的异常流量监测系统。系统将数据包元数据转化为文本表征，经TF-IDF向量化后输入一维CNN进行二分类，实现了从流量采集、模型训练、模型评估到在线/离线检测的完整流程。系统采用PyQt5构建图形界面，支持PCAP解析、实时回放、合成流量

WildSync：通过Wild API 使用恢复实现自动化 Fuzzing Harness 合成“ 在现代模糊测试（Fuzzing）中，测试套件的质量往往直接决定了漏洞挖掘的深度与效率。然而，在真实工业代码中，API 使用方式复杂、多样且高度依赖上下文，人工编写 Harness 成本高昂，自动生成方法又常常缺乏对真实使用场景的理解。

基于Python的Web命令执行漏洞自动化检测系统随着互联网技术的快速发展，Web应用已经成为信息系统的重要组成部分。然而，Web应用的安全问题日益突出，其中命令执行漏洞作为一种常见的Web安全漏洞，对系统安全构成严重威胁。目前针对命令执行漏洞的研究主要集中在两个方面，基于规则的静态代码分析方法，通过分析源码中危险函数调用发现潜在漏洞。基于模糊测试的动态检测方法，通过向应用程序注入大量变异数据触发异常行为。然而，这些方法存在明显的局限性，静态分析方法容易产生误报，且难以适应复杂的运行时环境。动态检测方法准确率较高但检测效率低下且覆盖面有限，难以应对大规模

世界尽头与你

JavaMelody 未授权访问漏洞受影响版本：JavaMelody 全版本（默认配置下均存在此风险）可能泄漏的内容包括：利用 action 参数获取敏感数据，JavaMelody 监控页面通过 action 与 part 参数控制展示内容，攻击者可遍历常见 part 名称：

Unix 通配符注入攻击：从参数污染到命令执行Unix 通配符注入（Wildcard Injection）是一种被严重低估但长期有效的攻击技术。当系统命令使用 * 等通配符处理文件时，攻击者可通过构造包含特殊字符（尤其是以 - 开头的）文件名，将文件名"伪装"成命令参数注入到命令行中，从而实现权限篡改、任意命令执行等高危操作。本文结合经典论文与实战场景，系统分析 tar、rsync、zip、chown、chmod 等常见命令的通配符注入原理、利用手法及防御方案。

四种 NAT 类型详解｜透彻理解 NAT 穿越原理（全锥 / 受限锥 / 端口受限锥 / 对称 NAT）日常上网、IPSec VPN、P2P 组网、流媒体打洞都绕不开 NAT 类型。很多人困惑：为啥 UDP 容易穿透 NAT、TCP 很难 P2P 直连？GRE / 原生 ESP 无法过运营商 CGN？根源就是后端 NAT 实现规范不同。本文基于标准 RFC3489 分类，结合统一实验拓扑、报文实例拆解 4 类 NAT 工作逻辑，区分「内网主动上网」和「外网主动入站 P2P 穿透」两大场景，同时联动 IPSec NAT-T、GRE 隧道知识点。

基于网络爬虫的XSS漏洞检测系统的设计与实现随着互联网技术的迅猛发展和Web应用的广泛普及，网络安全威胁日益严重，其中跨站脚本（XSS）攻击已成为Web应用中最常见的漏洞类型之一。根据OWASP最新安全威胁报告，XSS漏洞在各类Web安全漏洞中始终排名前列，给企业和个人用户带来了巨大的安全风险。传统的XSS漏洞检测方法主要依赖人工代码审计，效率低下且容易遗漏漏洞，难以应对大规模Web应用的检测需求，故设计并实现一个基于网络爬虫的自动化XSS漏洞检测系统。该系统能够自动爬取目标网站、分析潜在注入点、生成测试Payload并执行漏洞检测，最终生成详细的