本文转载来源公众号：Zacarx随笔 前言 Web应用防火墙（WAF）作为现代企业Web安全架构的核心组件，在防御SQL注入、XSS、RCE等常见攻击中扮演着关键角色。然而,随着攻防技术的不断演进,针对企业级WAF的绕过技术也在持续发展。本文基于最新的学术研究和实战案例,系统性地梳理了当前主流WAF ...

本文分享自天翼云开发者社区《一种智能调度分布式路径计算解决方案》.作者：蒋辉 背景技术 传统的CDN动态加载智能路由系统对用户动态请求，主要通过探测服务器主动发起周期性的探测请求，探测CDN中转节点和源站的可用性及网络性能，根据探测结果选择最优的回源链路； 然而，在获取到探测结果后，为了减少探测服务 ...

暴力破解是一种最直接、最笨拙的攻击方式，见名知意，就是攻击者通过穷举所有可能的密钥、口令或输入组合，直到找到正确答案为止。这种攻击方式看起来很low，但在现实中却屡见不鲜，因为许多用户仍然习惯使用过于简单的弱口令，比如像什么123456，或者是password或是生日、手机号等。 ...

Oracle数据库注入基础入门 前排摘要：此随笔的案例取材大部分来自PortSwigger靶场 阅读时间：大约10分钟 学习原因 最近几天在研究BurpSuite官方的TOP10靶场，发现里面不仅仅包含了MySQL数据库的注入，还包含了其它数据库的SQL注入。对于MySQL数据库而言，相关的文章和教 ...

一、题目来源 BUUCTF-Pwn-babyheap_0ctf_2017 二、信息搜集 将题目给的可执行文件丢入Linux虚拟机中 通过file命令查看文件类型： 通过checksec命令查看本题采用的保护机制： 注意： 我的Ubuntu版本与题目版本不一致，为了消除libc版本不同的干扰，于是我使 ...

这台靶机挺有意思，所以做个复盘 日志文件包含 内核（双定位）提权 nmap 端口扫描： ┌──(kali㉿kali)-[~/Redteam/replay/tomato] └─$ nmap -sT -p- 10.10.10.147 -oA nmapscan/ports Starting Nmap 7. ...

在网络安全日益重要的今天，SSL/TLS 证书不仅是 HTTPS 协议的基石，也是保护用户数据、提升 SEO 排名的关键。然而传统证书管理方式繁琐、低效，尤其在多域名或复杂云环境下，极易出错。ALLinSSL 作为一款开源免费的 SSL 证书管理工具，承诺通过自动化和集中化解决这些痛点。 核心功能： ...

在对B-Link X26 V1.2.8 路由器固件进行安全审计时，发现其在处理特定输入的过程中存在命令注入溢出漏洞。该漏洞的成因在于程序未对用户传入的数据进行严格的合法性校验，直接拼接进入系统命令，攻击者可以借此注入并执行任意代码。 ...

这台靶机进入了一个思维误区，故复盘记录 资产很多，兔子洞也很多 其实不用先拿到apache再横向提权的 这个靶机sql注入漏洞很多而且各种各样，我当时先SQL注入dump了数据库，当时卡着是因为ssh旧算法kali不支持，所以ssh连不上，hydra也爆不出来 再加上资产很多，就觉得密码喷射的概率不 ...

一台非常简单的靶机复盘 vulnhub官网注释 Description Back to the Top Description: This VM tells us that there are a couple of lovers namely Alice and Bob, where the co ...

因为这台机子形式比较特殊，所以做个wp nmap ┌──(kali㉿kali)-[~/replay/doubletr] └─$ nmap -sT -p- 192.168.48.67 Starting Nmap 7.95 ( https://nmap.org ) at 2025-09-10 23:17 ...

了解阿里云上NAT网关的出口IP和负载均衡SLB在用户访问服务时的关系，确实很重要。由于搜索结果中的相关信息较少，我会结合自己的知识，用一个简单的流程图来展示它们之间的协作关系，然后为你解释各个环节。 flowchart TD A[用户访问请求] --> B[公网入口<br>SLB实例<br>虚拟I ...

最近应急，遇到一起官网非法链接事件。使用百度搜索引擎语法site:www.网站域名 搜索某关键字，会出现一堆结果。并且只有百度搜索引擎可以搜索出来，其他的都没有记录。 ...

1. 前言 在现代 Web 应用中，JWT（JSON Web Token）因其轻量、跨语言、易于集成而被广泛用作身份认证与授权手段。但在 CTF 比赛和渗透测试场景里，JWT 也常常成为攻击突破口。攻击者若能篡改 Token 的内容并成功绕过服务端校验，就可能伪造任意身份，甚至获取系统的最高权限。本 ...

1 过渡技术选型与概述 IPv4向IPv6的过渡通常采用双栈技术、隧道技术和协议转换技术三种主要方式。选择哪种技术取决于你的网络环境、业务需求和资源状况。 1.1 技术对比与选型建议 技术类型 适用场景 优点 缺点 推荐指数 双栈技术 新建网络、园区网、数据中心 原生兼容IPv4/IPv6，性能最佳 ...

在对 Tenda AC20 路由器 进行安全分析时，发现其固件在处理特定输入时存在缓冲区溢出漏洞。该漏洞源于程序在拷贝用户输入时缺乏有效的边界检查，攻击者可以通过构造恶意请求触发溢出，从而导致系统崩溃，甚至在某些场景下获得更高权限，进而完全控制设备。 ...

智慧教室：安徽京准校园网络时钟同步系统 智慧教室：安徽京准校园网络时钟同步系统 京准电子科技官微——ahjzsz 引言： 随着网络的普及，许多单位都建了自己的园区网，使用的网络设备和服务器日益增多。这些设备都有自己的时钟，而且是可以调节的。但是无法保证网络中的所有设备和主机的时间是同步的，因为这些时 ...

半个月前，我在对Wavlink品牌WL-NU516U1型号路由器进行安全测试时，发现其管理界面存在一处命令注入漏洞。该漏洞源于系统对用户输入过滤不严，攻击者可通过特制的HTTP请求在设备中执行任意系统命令，从而完全控制设备。经过深入分析与验证，确认该漏洞具有高危害性，可导致设备被完全接管。 ...

之前在网上随便逛逛的时候，发现一个有各种各样的PHP项目的管理系统，随便点进一个查看，发现还把mysql版本都写出来了,而且还是PHP语言。 ...

本文分享自天翼云开发者社区《浅谈故障复盘》，作者：朱****静 一、完善项目排障机制，做好预防性措施 1、完善项目内评审机制，关键操作执行前反复验证，如：是否抛出异常、返回值是否正确、确认操作结果是否符合预期等； 2、制定排障预案，严格按照排障流程执行操作； 3、研发人员需要输出详细的操作手册，手册 ...