- 博客(530)
- 收藏
- 关注
RSS订阅原创 【HW系列】— 从流量视角拆解Log4j2、Fastjson、Shiro三大漏洞的实战检测
本文从流量视角深入剖析Log4j2、Fastjson、Shiro三大漏洞的实战检测方法,详细解析各类漏洞的流量特征、攻击手法及防御策略。通过真实案例分析,帮助安全人员快速识别异常流量,提升漏洞检测效率,有效应对网络安全威胁。
2026-04-02 09:59:53
161
原创 饿了么H5端bxet与sign逆向实战:从插桩到环境补全
本文详细解析了饿了么H5端sign和bxet参数的逆向过程,从基础工具准备到高级环境补全策略。通过插桩调试和环境变量校验,揭示了加密参数的生成逻辑,并提供了绕过反调试的实用技巧,适合Web安全研究人员参考学习。
2026-04-02 09:52:42
493
原创 别再只盯着SPHINCS+了:聊聊哈希签名在IoT设备上的真实落地与性能踩坑
本文深入探讨了哈希签名在IoT设备上的实际应用与性能优化,对比了SPHINCS+、XMSS和WOTS+等方案在资源受限环境下的表现。通过实测数据和实战技巧,揭示了内存占用、时钟周期和能耗等关键问题的解决方案,为开发者提供了在低功耗设备上实现安全签名的实用指南。
2026-04-02 09:41:23
191
原创 保姆级教程:手把手教你用Python模拟TikTok Web端登录注册全流程(含风控绕过与验证码处理)
本文提供了一份详细的Python教程,手把手教你模拟TikTok Web端登录注册全流程,包括设备指纹生成、密钥加密、风险上报、验证码处理等关键技术实现。特别关注风控绕过与验证码处理,帮助开发者实现自动化登录或注册,适用于社交媒体数据采集与分析场景。
2026-04-02 09:17:48
235
原创 别再裸奔了!手把手教你用CryptoJS和Spring Boot实现前后端密码加密(含盐值最佳实践)
本文详细介绍了如何使用CryptoJS和Spring Boot实现前后端密码加密,重点讲解了动态盐值生成、双重哈希防御链以及后端验证的最佳实践。通过企业级安全增强策略,如密钥轮换机制和暴力破解防御,帮助开发者构建符合OWASP Top 10标准的安全体系,有效防范彩虹表攻击等威胁。
2026-04-02 09:09:54
250
原创 从一次失败的wzsc文件上传到成功:聊聊PHP webshell的‘生存之道’与持久化技巧
本文深入探讨了PHP webshell的持久化技术与防御策略,从传统一句话木马的失效原因到文件操作函数的生存优势,再到条件竞争和高级持久化技术的应用。通过分析wzsc文件上传案例,揭示了Webshell在攻防对抗中的生存之道,为安全人员提供了防御思路。
2026-04-01 09:40:00
209
原创 Iptables 实战指南:从基础规则到高级网络防护
本文深入解析Iptables防火墙的核心概念与实战技巧,涵盖基础规则配置、高级网络防护及流量控制策略。通过实际案例演示如何防御SSH暴力破解、SYN洪水攻击等常见威胁,并提供规则优化与持久化的最佳实践,帮助管理员构建高效安全的网络防护体系。
2026-04-01 09:29:08
181
原创 避坑指南:微信支付V3 SDK自动更新证书失败的5种常见原因及修复方法
本文详细解析了微信支付V3 SDK自动更新证书失败的5种常见原因,包括401错误、签名不匹配、网络环境问题等,并提供了具体的修复方法和调试技巧。重点解决了平台证书更新过程中的验签失败问题,帮助开发者快速定位和解决支付功能中断问题。
2026-03-31 09:32:07
176
原创 为什么你的微信小程序需要RSA+DES混合加密?安全通信的最佳实践
本文探讨了微信小程序中采用RSA+DES混合加密的必要性和最佳实践。通过结合RSA的非对称加密安全性和DES对称加密的高效性,为小程序通信提供双重安全保障,有效防止数据泄露和中间人攻击,是提升微信小程序安全性的关键技术方案。
2026-03-31 09:25:22
145
原创 避坑指南:MIMIC数据库CITI伦理考试中,关于‘利益冲突’的5个高频易错点解析
本文深入解析MIMIC数据库CITI伦理考试中关于‘利益冲突’的5个高频易错点,包括财务利益披露时限、特许权收入的披露例外、非上市公司股权披露要求等。帮助研究者不仅通过考试,更理解背后的合规逻辑,提升医学研究的透明度和可信度。
2026-03-31 09:22:31
167
原创 从长城杯赛题到实战:基于ZeroShell防火墙的威胁流量深度狩猎
本文深入探讨了从长城杯赛题到实战的威胁流量分析,重点解析了ZeroShell防火墙漏洞(CVE-2019-12725)的利用与防御。通过真实案例,详细介绍了漏洞原理、流量特征、权限维持手法及深度分析技巧,并提供了企业环境下的实时检测规则和加固配置建议,助力提升网络安全防护能力。
2026-03-31 09:10:36
219
原创 从取证到防御:实战解析BadUSB攻击与USB流量异常检测(Wireshark实战)
本文深入解析BadUSB攻击原理及防御策略,通过Wireshark实战演示USB流量异常检测技术。从攻击链分析到HID协议深度解析,提供企业级监控方案设计,帮助构建从取证到防御的安全闭环,有效应对USB设备带来的内网安全威胁。
2026-03-31 09:07:38
181
原创 别再死记Payload了!拆解XSS-labs,教你写出自己的绕过代码
本文深入解析XSS-labs训练的核心价值,教你如何通过理解过滤机制、多维度绕过技术和上下文感知攻击,构建系统性的XSS绕过方法论。从基础payload到高级编码技巧,帮助安全测试者培养实战思维,不再依赖死记硬背,而是掌握真正的攻击者思考方式。
2026-03-31 09:02:03
241
原创 突破安卓高版本限制:BurpSuite证书导入与系统分区操作指南
本文详细介绍了如何突破安卓高版本限制,通过BurpSuite证书导入与系统分区操作实现安全抓包。从环境搭建、证书格式转换到系统分区操作,提供全流程指南,帮助安全测试人员解决安卓7及以上版本的抓包难题,并分享常见问题排查与进阶技巧。
2026-03-30 10:43:18
122
原创 网络安全基础:从法律法规到实战防护全解析
本文全面解析网络安全基础,从法律法规到实战防护,涵盖《网络安全法》等关键法规、五类高危网络威胁(如勒索软件、社会工程学攻击)及企业安全防护体系搭建。通过真实案例和实用技术方案,帮助读者提升网络安全防护能力,确保数据安全与合规。
2026-03-30 10:38:40
126
原创 形式化方法与人工智能的融合:构建可信AI系统的关键路径
本文探讨了形式化方法与人工智能的融合在构建可信AI系统中的关键作用。通过实际案例和技术分析,展示了形式化方法在验证、安全性和可解释性(XAI)方面的独特价值,特别是在自动驾驶和航天系统中的应用。文章还介绍了前沿技术如概率形式验证和规范挖掘,为开发者提供了实用的工具链和框架。
2026-03-30 10:21:19
81
原创 从比特币到HTTPS:图解SHA512算法在区块链和TLS握手里的核心作用
本文深入解析SHA512算法在区块链和TLS协议中的关键作用,通过比特币交易和HTTPS安全连接的实例,揭示其如何保障数据完整性和安全性。文章详细对比SHA512与SHA256的技术差异,并探讨现代系统中的优化实践,为开发者提供算法选择和应用指导。
2026-03-30 10:13:43
307
原创 利用QEMU模拟树莓派环境实现IoT固件动态分析与调试
本文详细介绍了如何利用QEMU模拟树莓派环境进行IoT固件动态分析与调试。通过QEMU模拟ARM架构硬件环境,研究者可以高效地进行固件分析、漏洞挖掘和调试,避免真机调试的高成本和风险。文章提供了从环境搭建到实战技巧的全流程指南,包括镜像处理、QEMU参数优化、内存监控及漏洞复现等关键步骤,助力IoT安全研究。
2026-03-30 10:09:18
241
原创 Next.js 中间件漏洞 CVE-2025-29927 深度解析:授权绕过的原理与防护实践
本文深度解析了Next.js中间件漏洞CVE-2025-29927的授权绕过原理与防护实践。该漏洞允许攻击者通过恶意标头绕过中间件安全检查,影响自托管应用。文章详细介绍了漏洞背景、技术原理、利用场景,并提供了官方修复方案、临时防护措施及深度防御建议,帮助开发者有效应对这一高危漏洞。
2026-03-30 10:05:35
311
原创 警惕!新型U盘蠕虫伪装文档传播:实测火绒5.0查杀+防御全攻略
本文深度解析新型U盘蠕虫病毒的传播机制与防御策略,重点介绍火绒5.0的多层次防护体系。从病毒运作原理到实战查杀指南,提供全面的安全解决方案,帮助用户有效防范伪装文档传播的蠕虫病毒,确保系统安全。
2026-03-30 10:01:28
312
原创 绿盟扫描报OPTIONS漏洞?手把手教你用requestFiltering保护IIS网站
本文针对绿盟扫描报告的OPTIONS漏洞问题,详细解析了OPTIONS方法的潜在风险,并手把手教你如何通过IIS的requestFiltering模块精准控制HTTP方法。文章提供了实战配置步骤、不同场景下的安全策略以及常见问题解决方案,帮助管理员既修复漏洞又不影响正常业务运行。
2026-03-30 09:33:35
307
原创 告别拼接等待!用wx.request + SSE在微信小程序里实现‘打字机’式AI回复(完整代码+encoding.js)
本文详细介绍了如何在微信小程序中使用wx.request和SSE技术实现AI对话的流式输出,打造‘打字机’式交互体验。通过完整的代码示例和encoding.js解决方案,帮助开发者解决中文乱码问题,优化前端渲染性能,并提供了实战中的避坑指南和进阶优化方向。
2026-03-30 09:31:18
253
原创 Node.js开发者必看:如何用node-forge替代node-rsa实现RSA加解密(附完整代码示例)
本文详细介绍了如何使用node-forge替代node-rsa在Node.js中实现RSA加解密,包括密钥生成、格式转换、加解密实战及性能优化技巧。node-forge作为现代密码学工具库,支持多种加密算法和密钥操作,是处理加密任务的优选方案。附完整代码示例,帮助开发者快速上手。
2026-03-29 10:47:02
126
原创 Python实战:用Galois库玩转有限域与伽罗瓦群
本文详细介绍了如何使用Python的Galois库进行有限域与伽罗瓦群的实战操作。通过具体代码示例,展示了有限域的创建、多项式运算、伽罗瓦群生成元查找等核心功能,帮助开发者快速掌握这一密码学与编码理论中的关键技术。文章还提供了纠错编码系统的完整实现案例,适合密码学工程师和算法开发者参考。
2026-03-29 10:30:26
271
原创 恶意代码脱壳实战:从UPX到FSG,用Kali和IDA Pro搞定Lab1-2与Lab1-3
本文深入解析了恶意代码脱壳实战,从UPX到FSG的逆向工程技巧。通过Kali Linux和IDA Pro工具组合,详细演示了Lab1-2与Lab1-3样本的脱壳过程,包括自动化与手动脱壳方法、反调试对抗及静态分析技术,帮助安全研究人员有效识别和应对加壳恶意代码。
2026-03-29 10:27:00
312
原创 从PGP到GPG:开源加密工具发展史与Linux环境最佳实践
本文追溯了从PGP到GPG的开源加密工具发展历程,详细解析了GNU Privacy Guard在Linux环境中的最佳实践。内容涵盖密钥生成、Git提交签名验证、APT包验证等核心应用场景,并提供了智能卡集成、多设备同步等高级安全方案,帮助开发者全面掌握这一Linux生态中的关键加密工具。
2026-03-29 10:24:27
291
原创 实战剖析:从微信小程序反编译到AES加解密爬虫的完整逆向工程
本文详细解析了微信小程序逆向工程的完整流程,从反编译工具链搭建到AES加解密爬虫实现。通过实战案例演示如何解密wxapkg包体、定位加密关键点,并利用Python重构加密逻辑,帮助开发者深入理解小程序安全机制与数据抓取技术。
2026-03-29 09:53:44
393
原创 新手必看!攻防世界MISC难度一47道题保姆级解题思路与工具包分享
本文为CTF新手提供攻防世界MISC难度一47道题的保姆级解题思路与工具包分享。内容涵盖基础编码识别、图像隐写分析、流量分析等核心技巧,并附赠包含完整WP、定制脚本和精选工具的资源包,帮助新手快速掌握CTF竞赛中的MISC解题方法。
2026-03-29 09:36:07
366
原创 安卓逆向实战:手把手教你用Smali修改去除小说App广告(附详细步骤)
本文详细介绍了如何通过安卓逆向工程,使用Smali代码修改技术去除小说App中的广告。从工具准备到具体操作步骤,包括穿山甲广告SDK和百度广告联盟的屏蔽方法,以及VIP验证逻辑的绕过技巧,帮助用户实现无广告阅读体验。
2026-03-29 09:19:25
616
原创 从一道BUUCTF Web题,聊聊PHP文件包含那些‘坑’与绕过技巧(实战复盘)
本文通过一道BUUCTF Web题目实战复盘,深入探讨PHP文件包含漏洞的原理、常见场景及绕过技巧。文章详细解析了本地文件包含(LFI)和远程文件包含(RFI)的利用方法,并提供了多种绕过防御机制的实战技巧,帮助开发者和安全研究人员更好地理解和防范此类漏洞。
2026-03-28 10:57:04
68
原创 TikTok滑块验证码verifyV2逆向实战:从fp生成到captchabody加密的完整流程解析
本文详细解析了TikTok滑块验证码verifyV2的逆向工程全流程,从fp参数生成到captchabody加密机制,涵盖了验证码触发、WASM解密、轨迹模拟等关键技术点。通过实战案例和代码示例,帮助开发者深入理解反爬机制,提升逆向工程能力,应对复杂的验证挑战。
2026-03-28 10:46:19
114
原创 SAP GRC实战指南:企业风险合规治理的智能化转型
本文深入解析SAP GRC在企业风险合规治理中的智能化转型实践,通过实时风险扫描、自动化规则引擎和智能预警系统等核心机制,显著提升合规效率。结合零售、金融、制造等行业案例,展示GRC在动态访问控制、异常模式识别和风险管理预测性分析中的创新应用,为企业提供从部署到优化的实施路线图。
2026-03-28 10:39:09
92
原创 从傅里叶变换到无线信道:深入解析最大多径时延与相干带宽的倒数关系
本文深入探讨了无线通信中最大多径时延与相干带宽的倒数关系,通过傅里叶变换分析多径效应及其对信道特性的影响。文章详细解析了多普勒频移、相干时间等关键概念,并提供了实际系统设计中的测量与建模方法,为5G及未来通信技术的研究提供理论支持。
2026-03-28 10:02:26
143
原创 飞牛Nas数据安全新方案:基于Backrest与Restic的自动化加密备份实践
本文详细介绍了在飞牛Nas上基于Backrest与Restic实现自动化加密备份的完整方案。通过对比测试和实战案例,展示了这套组合在数据安全、备份效率和恢复可靠性方面的优势,特别适合需要保护重要数据的个人和小型企业用户。文章涵盖工具选型、网盘挂载、备份策略制定以及安全加固等关键环节,帮助读者构建专业级的数据保护体系。
2026-03-28 10:01:44
156
原创 用Python仿真信道不确定性下的隐蔽通信:从理论公式到代码实现(附GitHub仓库)
本文详细介绍了如何利用Python仿真信道不确定性下的隐蔽通信系统,从理论公式到代码实现全面覆盖。通过NumPy/SciPy/Matplotlib等工具,复现了经典论文中的数学模型,并分析了信道不确定性(Channel Uncertainty)对隐蔽通信性能的影响。文章包含完整的GitHub代码实现,适合无线通信安全领域的研究人员和开发者参考。
2026-03-28 09:56:25
174
原创 从CVE-2024-37032看供应链安全:Ollama恶意注册表攻击链的完整拆解
本文深入分析了CVE-2024-37032漏洞,揭示了Ollama模型注册表中的供应链安全风险。通过拆解恶意注册表攻击链,详细展示了路径遍历和RCE漏洞的利用过程,并提供了从紧急升级到长期加固的多层防御方案,帮助开发者提升AI工具链的安全性。
2026-03-28 09:55:02
157
原创 PHP国密SM4解密Base64数据时URL编码问题的排查与修复(基于lpilp/guomi)
本文详细分析了PHP中使用国密SM4解密Base64数据时遇到的URL编码问题,提供了基于lpilp/guomi扩展的解决方案。通过替换空格为加号等预处理步骤,确保Base64数据在传输和解密过程中的完整性,有效解决了部分乱码问题。
2026-03-28 09:53:58
227
原创 从“弹计算器”到实战:深入理解MSF shellcode的通用加载器原理与免杀思路
本文深入解析MSF shellcode的通用加载器原理与免杀技术,从经典的'弹计算器'示例出发,详细讲解PEB遍历、API动态解析等核心模块,并探讨多层加密、环境检测等进阶对抗策略,帮助安全研究人员开发高效隐蔽的定制化shellcode。
2026-03-28 09:51:30
167
原创 别再花钱买云API了!手把手教你用Docker+Ollama在本地免费跑通Strix渗透测试
本文详细介绍了如何利用Docker和Ollama在本地免费搭建Strix渗透测试环境,大幅降低企业安全测试成本。通过硬件选型、模型量化、容器化部署等实战技巧,实现媲美商业云服务的本地化智能渗透测试平台,提升数据安全性和测试效率。
2026-03-27 11:21:50
375
原创 别再硬编码密钥了!Spring Boot + JWT非对称加密实战,教你用Vault管理RSA密钥对
本文详细介绍了如何在Spring Boot应用中利用JWT非对称加密技术,并通过Vault安全管理RSA密钥对,彻底告别硬编码密钥的不安全做法。文章对比了不同密钥管理方式的安全性,提供了Vault与Spring Boot的集成方案,并展示了JWT非对称加密的具体实现,帮助开发者构建更安全的微服务架构。
2026-03-27 11:03:15
343
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人