网络安全

【2025-12-01】软件供应链安全日报：最新漏洞预警与投毒预警情报汇总「2025年12月01日」新增「59」条漏洞预警信息，其中漏洞评级：中危，6.9 修复建议：可选修复 POC情况：暂无POC 漏洞描述：发现了一个名为Qualitor至版本8.20.104/8.24.97的安全漏洞。受影响的功能是/html/st/stdeslocamento/request/getResumo.php文件中的eval函数。操纵参数passageiros会导致代码注入。攻击者可能进行远程利用。该漏洞已被公开并可能被利用。升级到版本8.20.105和8.24.98可以解决此问题。建议

白帽黑客-晨哥

零基础系统学习渗透测试路线图网络基础：掌握TCP/IP协议栈、HTTP/HTTPS协议、DNS解析过程、Cookie/Session机制

咨询QQ27699885

COMSOL模拟蛇形流道PEMFC：多因素考量下的探索之旅COMSOL蛇形流道燃料电池pemfc，温度、液态水、膜态水均有考虑，阳极通入氢气，阴极通入空气，物理模型包含双极板，液态水做了速率，膜态水做了分布。

深入解析 XSS 漏洞：原理、分类与攻防实战随着Web应用技术的飞速发展，用户与网站的交互愈发频繁，但随之而来的安全风险也日益凸显。跨站脚本攻击（XSS）作为Web安全领域中最常见、危害最广泛的漏洞之一，长期位列OWASP Top 10榜单。它利用Web应用对用户输入的信任缺陷，注入恶意脚本代码，窃取用户数据、劫持会话甚至控制客户端操作。本文将从XSS的基础概念出发，深入剖析其原理、分类、利用方式与防御策略，结合实战案例带你全面理解这一经典漏洞。

【打靶日记】VulNyx 之 Responder主机地址为192.168.56.126由于22在IPv4下扫描出filtered，所以扫描IPv6，结果是open

基于 Apache 规则拦截目录扫描器请求：实测与配置指南在Web安全防护中，目录扫描器是攻击者常用的探测工具，其通过遍历敏感路径寻找网站漏洞或敏感文件，可能导致服务器负载升高、信息泄露等风险。本文结合实测结果，提供一套基于Apache Rewrite规则的扫描器拦截方案，精准拦截含特定关键字的扫描请求。

知攻善防实验室

Yakit热加载之出差无聊测酒店 WiFi前言在酒店实在无聊，想着测测路由器玩玩，看看有没有摄像头抓到包就是这个样子治不了 gov 还治不了你？

超级大只老咪

dirsearch(目录扫描)靶场用的：真实环境用的：结合下方红字的配置-u：目标网址。-e php,zip,bak,txt,sql,json：（核心参数）指定后缀名。

炎魂网络 - 安全开发实习生面经临时加更一篇博客，上周线下面完了杭州炎魂网络，面试时间40min。因为只有一面，然后让我回去等通知，本来以为都寄了，结果今天给我发offer了，啊哈哈哈哈哈，人生第一次面试就通过了，有点激动。

漏洞文库-Web安全

CTFHub-SSRF（全部）题目：尝试访问位于127.0.0.1的flag.php吧解题步骤题目：尝试去读取一下Web目录下的flag.php吧尝试去读取一下Web目录下的flag.php吧

上海云盾-小余

系统漏洞扫描原理,什么是系统漏洞?系统漏洞是指计算机系统（包括硬件、软件、网络协议等）中存在的设计缺陷、编码错误或配置不当，可能被攻击者利用以绕过安全机制，导致未授权访问、数据泄露、服务中断或其他恶意行为。漏洞可能存在于操作系统、应用程序、数据库、固件等层面。

世界尽头与你

CVE-2020-1938_ Apache Tomcat AJP 文件读取与包含漏洞CVSS评分：9.8（严重漏洞）Tomcat 默认会启动一个 AJP 端口 8009，且未进行访问控制。AJP 协议支持处理 Tomcat 内部资源，包含对 JSP 源码读取、内部文件包含等特性，从而导致 Ghostcat。

【打靶日记】HackMyVm 之 Twisted主机地址为：192.168.56.128有两张猫的图片，从名字上不难看出有张是有隐藏信息的把有隐藏信息的图片拿下来看看

【2025-11-30】软件供应链安全日报：最新漏洞预警与投毒预警情报汇总「2025年11月30日」新增「24」条漏洞预警信息，其中漏洞评级：中危，6.9 修复建议：可选修复 POC情况：暂无POC 漏洞描述：在taosir WTCMS系统中存在一个漏洞，影响版本至01a5f68a3dfc2fdddb44eed967bb2d4f60487665。受影响的是SlideController组件中位于application/Admin/Controller/SlideController.class.php文件的delete函数。通过操纵参数ids可以导致SQL注入攻击。远程

❼⁄₄ ⟦ OSCP ⬖ 研记 ⟧ 查找漏洞的公共利用 ➱ 实操案例（上）郑重声明：本文所涉安全技术仅限用于合法研究与学习目的，严禁任何形式的非法利用。因不当使用所导致的一切法律与经济责任，本人概不负责。任何形式的转载均须明确标注原文出处，且不得用于商业目的。

虹科网络安全

艾体宝新闻 | 应对新型 IoT 僵尸网络攻击，ONEKEY 方案守护安全最近，安全圈爆出一起严重威胁：一种名为 ShadowV2 的新型僵尸网络／恶意软件正被黑客用于利用物联网（IoT）设备漏洞进行大规模攻击。

三七吃山漆

攻防世界——wzsc_文件上传拿到靶机后有一个文件上传界面但这里什么也没有发现有一个flag.php文件，并且还有一个upload目录

Splashtop高性能远程控制软件

远程办公防线不 “失守”，终端防护策略全解析随着企业日益拥抱远程与混合办公模式，如何有效保护所有远程终端已成为核心关切。终端安全策略因此成为关键——企业需要建立明确的规范与规则，在保障远程设备安全的同时，不影响工作效率。

扣脚大汉在网络

关于一句话木马比如

HCIE考证研究所

最全网安证书大盘点，真不是什么都适合你在这个数据驱动的时代，网络安全已经成为了企业和个人都无法忽视的重要议题，相信大家也感受到，安全的热度与日俱增。也因此，专业的网络安全人才需求量激增。很多IT从业者都被安全岗位的需求大、待遇好所吸引，纷纷想要入行来分一杯羹。这股热潮也带动了各种网络安全证书的普及，它们被许多人视为提升技能、快速转行、增加就业机会的捷径。然而，并非所有的网络安全证书都适合每个人，都能在职场发展中起到作用，选择不当可能会浪费时间和金钱。今天就来跟着小编盘盘哪些网安证书是能够帮助到大家的，再也不用担心考到用不上的证书了！