- 博客(440)
- 收藏
- 关注
RSS订阅原创 别再拿冰河木马当玩具了!从一次真实的渗透测试复盘,聊聊Windows XP时代的安全漏洞与防御思路
本文通过分析冰河木马在Windows XP时代的传播与利用,揭示了当时系统的安全漏洞及防御缺失。文章深入探讨了默认共享、弱密码等设计缺陷,并对比现代安全防护的最佳实践,为读者提供了从历史漏洞中学习的安全启示与防御思路。
2026-05-16 09:39:46
210
原创 Windows应急响应实战:用Autoruns揪出隐藏的启动项木马(附排查思路与汉化版下载)
本文详细介绍了如何使用Autoruns工具在Windows系统中检测和清除隐藏的启动项木马,包括排查流程、高级分析技巧及典型攻击场景分析。通过实战案例,帮助安全人员快速识别恶意程序,提升应急响应能力。
2026-05-16 09:19:09
157
原创 模型逆向攻击(MIA)实战剖析:从原理到攻防演进
本文深入剖析模型逆向攻击(MIA)从原理到攻防演进的全过程,详细讲解白盒与黑盒攻击的技术差异及防御策略。通过实战案例和代码示例,揭示如何通过梯度信号和损失函数优化实现数据复原,并探讨动态防御等最新防护手段,帮助读者全面理解MIA的攻击机制与应对方案。
2026-05-16 09:11:03
176
原创 保姆级教程:在Spring Boot项目里正确配置Hutool和BouncyCastle搞定SM4国密加密
本文提供Spring Boot项目中集成SM4国密加密的完整指南,涵盖Hutool和BouncyCastle的正确配置、依赖管理、安全提供者注册及线程安全工具类实现。通过实战案例和常见问题排查,帮助开发者高效解决SM4加密中的典型问题如'No such algorithm'报错,确保数据安全与性能优化。
2026-05-16 09:07:04
32
原创 从‘eyJ’开头到明文:一次搞懂JWE Token的解密原理与Python实战
本文深入解析JWE Token的解密原理,对比JWT与JWE的核心差异,详细拆解JWE的五个组件及其协同工作机制。通过Python实战演示如何使用`jwcrypto`库解密JWE Token,涵盖密钥准备、解密流程及错误处理,帮助开发者从理论到实践全面掌握JWE解密技术。
2026-05-15 09:40:56
195
原创 Nacos 1.2.1升级到2.0.3后,CVE-2021-29441漏洞还在?手把手教你两步彻底修复
本文详细解析了Nacos从1.2.1升级到2.0.3后CVE-2021-29441漏洞仍然存在的原因,并提供了两步彻底修复方案。通过服务端身份识别强化和客户端认证全链路配置,确保微服务配置中心的安全性,避免未授权访问风险。文章还包含验证修复效果的实战方法和生产环境特别注意事项。
2026-05-15 09:36:12
145
原创 WIN11虚拟内存迁移失败?BitLocker与注册表联手设限的真相与破解
本文深入解析了WIN11虚拟内存迁移失败的根源——BitLocker加密与注册表限制的联动机制,并提供了详细的破解方案。通过修改注册表键值、重置虚拟内存设置及多盘分流策略,有效解决页面文件迁移问题,同时兼顾系统安全与性能优化。特别针对大内存用户给出进阶配置建议,帮助用户彻底摆脱C盘空间不足的困扰。
2026-05-15 09:20:01
284
原创 从防御者视角看攻击:利用Wireshark深度复盘一次真实的Webshell上传与内网渗透(含frpc代理分析)
本文从防御者视角详细解析了一次真实的Webshell上传与内网渗透攻击链,利用Wireshark深度复盘攻击过程,包括认证爆破、日志篡改、Webshell上传及frpc代理分析。文章提供了多层防御策略和检测要点,帮助安全团队提升对类似攻击的识别与应对能力。
2026-05-15 09:18:22
125
原创 逆向宝塔人机验证:从JS混淆到生成有效Cookie的完整流程
本文详细解析了逆向工程中前端人机验证系统的核心逻辑,从JS代码混淆分析到核心算法提取,最终实现本地生成有效Cookie的完整流程。通过Chrome开发者工具、VS Code等工具链,深入探讨了MD5、Base64等关键算法,为安全研究和开发提供实用指导。
2026-05-15 09:03:37
266
原创 Node.js项目实战:用bcryptjs给你的用户密码加把‘盐’(附完整注册登录代码)
本文深入探讨了Node.js中使用bcryptjs进行密码加密的最佳实践,从密码学原理到企业级应用。通过详细的代码示例,展示了如何构建抗暴力破解的认证系统,包括动态调整计算成本、防彩虹表攻击等关键技巧,帮助开发者提升用户数据安全性。
2026-05-14 09:41:09
290
原创 从rockyou.txt字典说起:聊聊Kali Linux里那些你不知道的‘安全工具’冷知识
本文从rockyou.txt字典的起源切入,深入探讨Kali Linux中安全工具的隐秘历史与技术哲学。通过分析密码破解技术演进、WiFi安全评估变迁以及Metasploit等工具的双重性,揭示安全测试从攻击模拟到防御创新的范式转换,并探讨DevSecOps时代工具链的现代实践与合规要求。
2026-05-14 09:24:14
324
原创 从4G到5G:聊聊国产ZUC算法在移动通信安全里的那些事儿
本文探讨了国产ZUC算法在4G到5G移动通信安全中的关键作用。作为3GPP国际标准之一,ZUC算法以其高效性、安全性和适应性,在无线通信加密和完整性保护方面表现卓越。文章详细解析了ZUC的技术原理、4G到5G的演进历程,以及其在物联网和车联网中的未来应用前景。
2026-05-14 09:15:20
330
原创 为OpenWRT的Web管理界面穿上fail2ban的防护甲
本文详细介绍了如何为OpenWRT的Web管理界面(Luci)配置fail2ban防护,有效抵御暴力破解攻击。通过安装fail2ban服务、定制Luci登录页面的正则表达式规则以及优化jail配置,实现自动化IP封禁,显著提升网络安全性。文章还提供了高级配置技巧和故障排除方法,帮助用户全面加固OpenWRT路由器的管理界面防护。
2026-05-13 09:32:20
226
原创 别再死记硬背了!用Wireshark抓包,5分钟搞懂IPSec IKE主模式和野蛮模式的区别
本文通过Wireshark抓包实战,详细解析了IPSec IKE主模式与野蛮模式的核心差异。主模式通过6条消息实现加密身份认证,适合高安全场景;野蛮模式仅需3条消息但身份信息明文传输,适用于动态IP环境。文章提供配置示例和Wireshark过滤技巧,帮助读者快速掌握两种模式的应用选择。
2026-05-13 09:04:14
284
原创 在Windows 10上用虚拟机复现经典冰河木马:一次安全的攻防学习体验
本文详细介绍了在Windows 10虚拟机中安全复现经典冰河木马的全过程,重点分析了其行为特征、安全隔离措施及现代防御手段。通过搭建实验环境、部署监控工具和实战演练,帮助读者深入理解木马的工作原理及防御策略,为网络安全学习提供安全合规的实践指导。
2026-05-12 09:18:05
329
原创 Windows下ProVerif环境搭建:从下载GraphViz到第一个.pv文件验证(保姆级避坑)
本文详细介绍了在Windows系统下搭建ProVerif形式化验证环境的完整流程,包括下载GraphViz、配置环境变量以及运行第一个.pv文件验证。通过保姆级教程帮助用户避开常见安装陷阱,快速掌握ProVerif的基本使用流程,适用于网络安全和密码学领域的开发者。
2026-05-12 09:07:03
317
原创 从CVE-2017-11882到实战:用Windbg和GDB手把手调试你的第一个栈溢出漏洞
本文详细介绍了如何通过Windbg和GDB调试CVE-2017-11882栈溢出漏洞,从环境搭建到漏洞利用的全过程。通过实战分析,帮助读者掌握二进制漏洞调试的核心技术,包括定位漏洞触发点、构造有效载荷以及漏洞验证。适合PWN爱好者和二进制安全初学者学习。
2026-05-12 09:03:03
342
原创 不想注册Nvidia账户?手把手教你修改app.js文件,让GeForce Experience直接进主界面
本文提供了一种免登录使用GeForce Experience的技术方案,通过修改app.js文件绕过强制登录界面。详细介绍了文件定位、代码修改步骤及常见问题解决方案,帮助用户直接进入主界面使用屏幕录制和游戏优化功能。适用于不想注册Nvidia账户的PC玩家。
2026-05-11 12:09:24
156
原创 动手实验:用Python从零实现IDEA算法(128位密钥),理解其加解密与子密钥生成
本文详细介绍了如何使用Python从零实现IDEA(国际数据加密算法),包括128位密钥的加解密流程与子密钥生成机制。通过核心运算实现、数据块处理和完整的加密解密代码示例,帮助开发者深入理解这一经典对称加密算法的设计原理与实践应用。
2026-05-11 11:55:25
213
原创 【进阶实战 / SD-WAN】(7.0) ❀ 05. 精准引流:基于应用与用户的SD-WAN策略配置 ❀ FortiGate 防火墙
本文详细介绍了如何在FortiGate防火墙上配置基于应用与用户的SD-WAN策略,实现精准引流。通过多维度的流量识别能力,包括IP地址、用户组和应用识别,企业可以优化网络资源分配,提升关键业务的服务质量。文章还提供了实战配置步骤和高级优化技巧,帮助管理员有效管理SD-WAN规则。
2026-05-11 11:35:13
311
原创 【网络基石】奈氏准则与香农公式:从理论极限到工程实践的跨越
本文深入解析了奈氏准则与香农公式在网络通信中的核心作用,揭示了数据传输的理论极限与工程实践之间的桥梁。通过5G网络、Wi-Fi 6等现代技术的应用案例,展示了如何在实际工程中逼近这些理论极限,优化信道容量和信噪比,提升通信效率。
2026-05-10 09:25:09
159
原创 【ProVerif实战指南】从零构建首个安全协议验证模型
本文详细介绍了如何使用ProVerif工具从零构建安全协议验证模型,涵盖环境搭建、基础验证、密钥交换协议建模及典型攻击模式防御方案。通过实战案例演示如何验证协议可达性、对应关系和等价性,帮助开发者快速掌握形式化验证技术,提升安全协议设计能力。
2026-05-10 09:23:48
169
原创 告别Burp Intruder!用Yakit的Web Fuzzer,一个标签搞定密码爆破、目录扫描和Host碰撞
本文介绍了Yakit Web Fuzzer如何通过创新的Fuzz标签语法,简化渗透测试中的密码爆破、目录扫描和Host碰撞等操作。相比传统的Burp Intruder,Yakit Web Fuzzer大幅减少了配置步骤和时间,提升测试效率,让安全工程师能更专注于漏洞挖掘。
2026-05-08 09:56:31
295
原创 FPGA上实现SM4加密:用Verilog写一个‘边算边用’的循环迭代核心
本文详细介绍了在FPGA上使用Verilog实现SM4加密算法的循环迭代核心设计,通过‘边算边用’的创新方法优化资源利用。文章探讨了循环迭代架构的设计哲学、关键模块的工程实现、资源对比与性能权衡,以及验证方法与调试技巧,为资源敏感型应用提供了高效的SM4加密解决方案。
2026-05-08 09:11:02
346
原创 手把手复现百卓Smart S85F文件上传漏洞(CVE-2024-0939),附Yakit实战截图与修复方案
本文详细解析了百卓Smart S85F文件上传漏洞(CVE-2024-0939)的复现过程与防御方案。通过Yakit工具实战演示漏洞利用步骤,包括目标识别、恶意请求构造及验证,同时提供紧急缓解措施与长期加固建议,帮助企业有效防范此类安全风险。
2026-05-06 11:03:05
173
原创 别再只用MD5了!聊聊Java里HmacSHA1怎么给API签名加把‘锁’(附完整代码)
本文深入探讨了Java中HmacSHA1算法在API签名中的应用,对比传统MD5算法的安全缺陷,详细介绍了HmacSHA1的核心优势及实现方法。通过Spring Boot实战代码演示,展示了如何生成和验证签名,并提供了性能优化与安全加固方案,帮助开发者提升API安全性。
2026-05-06 09:52:36
174
原创 Windows安全事件日志分析不求人:告别事件查看器,用LogParser CLI高效排查异常登录
本文介绍了如何使用LogParser CLI工具高效分析Windows安全事件日志,快速排查异常登录行为。通过SQL语法直接查询.evtx文件,大幅提升日志分析效率,适用于企业级安全监控和应急响应。文章详细讲解了安装配置、基础查询、实战技巧及高级分析,帮助安全工程师告别缓慢的事件查看器。
2026-05-05 10:18:37
239
原创 告别选择困难症:2024年AI Agent选型实战,从AutoGPT到Devin的横向评测
本文深入评测2024年主流AI Agent技术,从AutoGPT到Devin的横向对比,提供实战选型建议。通过技术架构分析、性能测试和真实案例,帮助团队根据业务需求选择合适的人工智能代理解决方案,特别关注自主Agent在不同场景下的表现与成本效益。
2026-05-05 09:57:27
221
原创 别再踩坑了!关于App隐私声明和ATT权限请求,iOS 17上架前必须检查的5个细节
本文详细解析了iOS 17上架前必须检查的5个隐私合规细节,帮助开发者避免App Store审核被拒。重点包括App Store Connect隐私问卷的准确填写、ATT权限请求的最佳时机、使用具体描述字符串、设计优雅的降级体验以及提交前的终极检查清单。特别强调了Guideline 5.1.2的合规要求和App Tracking Transparency框架的正确使用。
2026-05-05 09:56:20
232
原创 华为防火墙开局配置保姆级教程:从管理地址到日志主机,一次搞定远程运维
本文提供华为防火墙从零部署的实战指南,涵盖管理配置与远程运维全流程。从设备初始化、安全架构设计到远程管理通道建设,详细解析每个配置步骤的安全逻辑与最佳实践,助您高效完成防火墙开局配置,确保企业网络安全防线稳固。
2026-05-05 09:21:34
264
原创 DDR5内存的On Die ECC到底有啥用?和传统ECC内存条有啥区别?
本文深入解析了DDR5内存的On Die ECC技术,与传统ECC内存条的本质区别。On Die ECC仅在内存颗粒内部实现单比特纠错,而传统ECC则提供端到端的全链路保护。文章通过对比测试数据和应用场景分析,帮助用户根据需求选择适合的内存方案,特别适合关注内存稳定性的游戏玩家和内容创作者。
2026-05-04 11:01:08
182
原创 Shiro框架下Secure Cookie引发的302循环重定向,一个配置项如何让登录接口‘罢工’?
本文深度解析Shiro框架中Secure Cookie配置不当导致的302循环重定向问题,详细讲解Secure Cookie的安全机制、浏览器处理策略及Shiro核心配置方案。通过多环境配置对比和实战解决方案,帮助开发者快速定位并修复登录接口异常问题,确保系统安全稳定运行。
2026-05-04 11:00:43
189
原创 Passware Kit Forensic自定义破解避坑指南:为什么你的RAR密码破解从1秒变成了1小时?
本文详细解析了使用Passware Kit Forensic进行RAR密码破解时常见的三大参数设置陷阱,包括密码长度范围、已知密码片段利用和自定义字符与模式的组合错误。通过优化这些设置,破解速度可提升60倍,帮助用户高效完成解密任务。
2026-05-03 10:58:45
156
原创 新手入门CTF逆向:用IDA Pro破解BUUCTF前10题(附详细脚本)
本文为CTF逆向新手提供详细指南,使用IDA Pro等工具破解BUUCTF前10道Reverse题目。涵盖基础工具准备、逆向分析流程、逐题精解及进阶技巧,帮助读者快速掌握逆向工程核心技能。附完整解题脚本和实用操作截图,适合零基础入门学习。
2026-05-03 10:00:38
516
原创 DVWA靶场通关后,我总结了这5个最容易被忽略的实战细节(附BurpSuite配置)
本文深入解析DVWA靶场通关过程中最易被忽略的5个实战细节,包括安全级别演变逻辑、BurpSuite高级配置技巧等关键要点。特别针对Web安全学习者,提供从靶场到真实漏洞的映射方法,并附有BurpSuite实用配置指南,帮助安全从业者实现从通关到精通的跨越。
2026-05-03 09:49:40
236
原创 权限系统的‘乐高积木’:我是如何用ABAC属性思想重构老旧权限模块的
本文详细介绍了如何利用ABAC(基于属性的访问控制)思想重构老旧权限模块,实现权限系统的灵活配置。通过将RBAC模型升级为ABAC,作者展示了如何利用属性策略解决复杂业务场景,如动态权限控制和数据过滤,显著提升系统的扩展性和维护效率。
2026-05-03 09:45:42
213
原创 iwebsec靶场除了练手,还能怎么玩?分享3个进阶实战场景与自定义漏洞模块思路
本文深入探讨了iwebsec靶场在Web安全领域的进阶应用,包括改造为内部CTF赛题环境、安全工具自动化测试平台以及自定义漏洞模块开发。通过实战案例和技术细节,展示了如何将iwebsec从基础练手工具升级为多功能安全研究平台,助力安全研究员和企业提升实战能力。
2026-05-03 09:41:13
301
原创 逆向实战:手把手教你用C++复现TikTok的X-Gorgon签名算法(附完整源码)
本文详细解析了TikTok X-Gorgon签名算法的C++实现与逆向工程实践,从环境搭建到算法还原,再到完整源码实现,手把手教你复现这一关键安全组件。文章涵盖了MD5哈希计算、字节序转换和加密变换等核心技术,适合对移动应用安全感兴趣的开发者学习参考。
2026-05-03 09:13:01
214
原创 从GitHub热门项目到商业产品:awesome-ai-agents清单里的闭源Agent,藏着哪些AI创业新趋势?
本文探讨了AI Agent从GitHub开源项目到商业产品的转型路径,分析了awesome-ai-agents清单中闭源Agent的四大商业化模式,包括垂直场景效能倍增器、人机协作新界面、企业工作流神经中枢和个人效率智能代理。文章揭示了AI Agent领域从技术演示到实际工具的关键转变,并预测了未来三年的竞争格局,为AI创业提供了新视角。
2026-05-02 11:01:36
285
原创 在WSL2的Ubuntu 22.04上,5分钟搞定AFL 2.52b的安装与编译(附常见报错解决)
本文详细介绍了在WSL2的Ubuntu 22.04上快速安装和编译AFL 2.52b的完整指南,包括环境准备、依赖安装、编译排错、性能优化及常见问题解决方案。通过实战技巧和优化配置,帮助安全研究人员高效部署AFL模糊测试工具,提升漏洞挖掘效率。
2026-05-02 10:09:23
146
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人