LlNingyu-CSDN博客

原创 Go 实现无锁环形队列：面向多生产者多消费者的高性能 MPMC 设计

MPMC场景环形队列设计高吞吐高并发

2026-04-12 09:05:29 398

原创什么是Go的接口（二）

什么是Go的接口，itab+data ，什么是空接口，什么是类型断言，接口的nil值两种区别，指针接收者和值接收者的区别

2026-04-08 22:57:36 368

首先，Go的接口是整个语言的一个基石内容，它与channel合为Go的两大战术级特性，channel是解决并发通信问题，而接口则解决行为抽象问题。“Go 的接口不是为了让你描述一个对象是什么，而是为了让你描述它能做什么。那么它究竟是什么呢，与其他编程语言的接口又有什么区别呢？其实接口的作用就是，为了代码复用，它的宏观目的是：如果一个行为，很多对象都可以做，那么我就声明出来，任何对象只要存在这个接口，那么它就一定可以做这个行为。

2026-04-07 20:38:53 430

原创什么是SSRF，它最基本的形式是什么（一）

SSRF，什么是服务端请求伪造，Server-Side Request Forgery，SSRF的常见攻击场景，portswigger

2026-04-04 23:20:02 444

原创文艺复兴，什么是CSRF，常见形式（二）--SameSite属性

什么是CSRF，文艺复兴在SameSite限制下CSRF的常见形式。

2026-03-31 23:08:01 438

原创文艺复兴，什么是CSRF，常见形式（一）

文艺复兴，什么是CSRF，简单的形式，现代化的应对方式

2026-03-30 21:42:53 389

原创 API安全的命题：逻辑缺陷的范式转移

本文将叙述当前的API安全相关问题，在当前的Web形式中，转向微服务架构似乎是大势所趋，架构的更迭从以往的单体架构，像 PHP、JSP 时代，身份验证、数据库查询、HTML 渲染都在一个进程里完成。现在的标准是“前后端分离 + 微服务”。前端（Vue/React）只负责展示，所有的业务逻辑全部下沉到了 API。这种解耦的架构下，逻辑漏洞成了大问题，它们不能被自动化测试有效识别，往往是深入在上下文严密的业务过程，所以在当前形势下，API安全越发重要而验严重。

2026-03-28 23:05:48 464

原创文艺复兴，什么是XSS，常见形式（三）

文艺复兴，XSS测试验证手段，原型链污染，XSS绕过CSRF防御

2026-03-26 21:36:46 571

原创文艺复兴，什么是XSS，常见形式（二）

文艺复兴，XSS的验证脚本，使用Burp和Ffuf的模糊测试目标，使用并发的URL请求来测试XSS

2026-03-26 09:07:09 397

原创文艺复兴，什么是XSS，常见形式（一）

什么是XSS，它的背景、它的类型危害，以及最基本的XSS注入是什么样子的

2026-03-24 23:18:22 370

原创 JWT 为什么总能被伪造？从 Burp Labs 看签名验证、Header 注入与算法混淆

JWT 的几类核心攻击面 && Burp Suite JWT练习 && Burp Labs分析

2026-03-22 23:12:33 629

原创 CVE-2025-29927 漏洞分析：当 Next.js 的防死循环机制，变成了中间件鉴权绕过的入口

本文通过CVE-2025-29927来叙述，Next.js框架的严重（Critical）漏洞，这个漏洞的核心是**中间件（Middleware）鉴权绕过**。

2026-03-22 12:10:25 415

原创 RSA非对称加密原理与模拟非对称加密交换

非对称加密算法原理&& RSA加密原理。&&RSA非对称加密交换模拟

2026-03-20 18:20:09 784

原创 JWT介绍 && --alg的安全问题

JWT的安全问题 && CVE-2015-9235 && --alg的安全限制

2026-03-19 19:53:35 370

原创 OWASP Top 1: 失效的访问控制 (Broken Access Control) 全景解析（二）——从默认拒绝到纵深防御

OWASP Top 10 A01：Broken Access Control 全景解析（二）——从默认拒绝到纵深防御

2026-03-18 14:39:40 670

原创 OWASP Top 1: 失效的访问控制 (Broken Access Control) 全景解析（一）

OWASP Top 1: A01失效的访问控制 (Broken Access Control) 的分析

2026-03-17 23:42:00 648

原创 CVE-2021-41773 && CVE-2021-42013 经典路径穿越

OWASP Top 10:2025 A01:2025 - Broken Access Control（访问控制失效）CVE-2021-41773 && CVE-2021-42013 路径穿越

2026-03-17 16:53:13 356

原创 CVE-2022-48341分析：远程认证用户实现垂直权限提升

OWASP Top 10 2021 A01: Broken Access Control && CVE-2022-48341分析

2026-03-16 21:00:13 503

原创 CVE-2024-46937 分析：一个典型 IDOR 如何发生在认证系统中

通过CVE-2024-46937简单分析IDOR

2026-03-16 16:12:27 318

原创从简单权限绕过视角看SUDO

介绍SUDO的更多细节和CVE-2019-14287的简单分析

2026-03-15 16:11:44 544

原创常用反弹shell简单分析

常见的简单反弹shell

2026-03-15 10:25:47 406

原创 CVE-2018-10933(libssh身份验证绕过)

CVE-2018-10933的简单分析

2026-03-14 12:44:23 411

原创 CVE-2026-27138(Go 标准库 X.509 证书解析 Panic）

CVE-2026-27138(Go 标准库 X.509 证书解析 Panic）

2026-03-13 16:58:29 436

原创 Nmap -- 发包引擎（一）

UltraScan是Nmap的发包引擎，它的核心作用是根据扫描需求，构建相关的包，并且将包发送出去，最后优雅的过滤出每一个响应包进行业务逻辑处理。

2025-12-08 22:17:48 971

原创 Nmap -- 流水线构造Target源码学习

Nmap的Target类目标构建、Nmap流水线构造目标

2025-11-24 22:13:27 1086

原创 HACKTHEBOX--Bashed

今天，这台机器很有意思~

2024-05-29 20:49:27 795

原创 HACKTHEBOX--FriendZone

我们并不能直接修改这两个文件，很显然我们没有他们的读写权限，但是很幸运的是，目前文件里存在 “import os” 这会链接python的os库，我们可以修改os库来实现修改文件的目地。我们可以发现，存在多个共享目录，其中比较有价值的是/general和/Development可以发现这两个目录可以进行匿名登录，并且会存在读写权限。成功访问，这时候我们就可以尝试利用之前的Samba上传一个shell了，并且由于Samba在进行目录枚举的时候发现了目录，并且进行直接访问。

2024-05-26 21:24:22 1690

原创 HACKTHEBOX --Lame

这个就是简单的靶机，里面存在着很多经典的内容，建议大家刚开始学渗透的时候多去动手试试。

2024-05-11 14:47:29 342 1

原创 HACKTHEBOX --Mongod

这就是一道简单的关于MongoDB的靶机，简单熟悉一下相关语法即可。

2024-05-10 17:54:56 810 1

renielnxy的博客

原创简单流量分析，串通Wireshark基本使用