小迪安全第二天

最新推荐文章于 2026-01-03 11:16:00 发布

原创最新推荐文章于 2026-01-03 11:16:00 发布 · 103 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全

小迪安全学习专栏收录该内容

6 篇文章

订阅专栏

本文探讨了web架构的演进，包括常规的站库合一方式转变为站库分离，前后端分离的开发模式，以及使用Docker容器构建安全的应用。特别提到集成软件如宝塔和phpstudy的管理，以及静态Web和伪静态技术对安全的影响。

文章目录

web 架构

web 架构

常规

源码数据库在同一个服务器

站库分离

源码数据库不在同一服务器，数据库肯放在云数据库产品上。

前后端分离

前端js框架，用 api 传输数据。前端页面大部分不存在漏洞，后端和前端也不在同一域名下，就算获得前端权限也可能不影响后端

集成软件搭建 web 应用。

宝塔和 phpstudy。打包类集成化环境，权限配置或受控制

Docker 容器搭建应用

虚拟化技术独立磁盘空间，非真实物理环境，拿下权限也只是虚拟磁盘的权限，还要 docker 逃逸。

建站分配站

托管
申请

利用别人域名模版建立，实质安全测试非目标资产

静态Web

例子：大学学的html设计的网站

原理：数据没有传输性（js传输不算）

影响：无漏洞

伪静态

动态转为静态技术，伪装的静态

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

她送的苦茶子

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

小迪安全第二天-其他模式

m0_53270667的博客

10-30

984

本文摘要：本文系统分析了不同网站架构的安全特性差异。首先对比了常规架构与站库分离架构的权限获取影响，指出分离架构中获取源码权限不等于控制数据库。其次解析了前后端分离架构的特点，强调其API接口成为主要攻击面。然后评估了集成化环境（宝塔、PhpStudy）与手动搭建环境的权限限制差异。接着说明Docker容器虚拟化技术的权限隔离特性。最后区分了动态网站与静态网站的特征，并指出伪静态页面的识别要点。

2020小迪安全第二天笔记-数据包相关知识

weixin_51566416的博客

12-01

1039

笔记来源视频：【小迪安全】web安全｜渗透测试｜网络安全（6个月线上培训全套）_哔哩哔哩_bilibili http和https区别： HTTP（三层）：HTTP、TCP、IP 抓到的数据是明文 https（四层）：HTTP、SSL或者TLS（安全证书）、TCP、IP Request请求数据包格式 #请求行请求行由三个标记组成:请求方法、请求URL和HTTP版本，它们用空格分享。例如: GET /index.htm HTTP/1.1 HTTP规划定义了8种可能的请求方

1 条评论您还未登录，请先登录后发表或查看评论

小迪安全——第二天

2302_80045891的博客

07-12

565

在快代理上购买一个代理——>隧道代理——>在白名单中放入自己的IP，IP是会不断变化的，这就可以解决对方将自己的IP拉黑了，解决后续的访问问题，配置个代理就行了。数据库类型：Access,Mysql,Mssql,Oracle,db2,Sybase,Redis,MongoDB等。组成部分：开发语言，程序源码，中间件容器，数据库类型，服务器操作系统，第三方软件等。漏洞：大部分由源码，而源码是由开发语言开发的，所以漏洞是由代码写的有问题产生的。（可有可无，例如官方自带：office，而第三方软件：wps）

小迪安全学习笔记第二天

m0_62599213的博客

02-23

352

2023第二天学习笔记

小迪安全第十天

2302_79632306的博客

09-21

873

访问xiaodi8的后台登录界面发现是post（居多不全是post 数据量较多一般都是post）请求（不一定是访问xiaodi8.com一些含登录界面框架的可以抓包看（xiaodi8容易sese））向下面这条数据他只要满足条件他就会返回他有一个漏洞就是只要密文等于明文他就会返回权限可以利用这个bug获得管理员权限也就是说你只要知道他的密文加密类型以后就可以对他的要求返回值进行更改。可知：进行测试的时候一定要确保利用的数据与你要访问的同类新平台的数据版本相一致才可保证正常使用。

小迪安全第二十六天

2302_79632306的博客

01-02

490

代码审计是指：插件有没有出现历史漏洞，使用的常用模板是否出现漏洞组件漏洞有哪些历史漏洞没有更新这才是代码审计。自己写的模板有一个 rce的安全问题第三方没有直接的rce安全问题但是也是有挖出过漏洞的只是相对安全。像这个漏洞就是本身没有漏洞但是用到这个模板以后存在漏洞这也是很恶心的地方方便开发的同时也存在安全影响。/* 绿色背景 */margin-bottom: 20px;

小迪安全第二十一天

2302_79632306的博客

10-02

641

主讲一些真实案例主要是通过信息收集然后找常见的oa密码格式进行弱口令爆破进去后进行下一步计划获取微信公众号全是api接口提供服务的没有资产如果附带连接就是外界资产主要是看用的自己的网站还是官网的自己的就可以看到其他的资产信息进行进一步分析主要通过任何方法获得人员域名邮箱等资产信息主要是查询开发人员或托管公司上传的项目铭感信息如源码泄露配置信息（密码密钥等）人员数据库等多个薄弱点进行进一步测试做信息收集github搜特定词可以一些数据库泄露。

小迪安全第九天

2302_79632306的博客

09-21

561

（前提条件对方用公钥加密则用私钥解密用私钥加密则用公钥解密否则无法解密）也可以在网站上加密解密有私钥就到私钥对应的窗口解密即可公钥同理。总结：先查源码对加密方式进行分析然后通过逆向思维进行解密再将自己需要的恶意语句进行加密原有的加密方式进行加密后执行恶意语句。与base64 相似但是解密需要：密文模式加密key 偏移量的条件来解密都要才能解密否则无法解密双方公用密钥。des的第二种加密方法可以发现同样的明文加密的密文并不同因为加密的方法不同所以值页不同。

小迪安全第二天（web应用）

m0_74741186的博客

01-02

391

开发语言：asp,php,aspx,jsp,java,python,ruby,go,html,javascript 等。数据库类型：Access,Mysql,Mssql,Oracle,db2,Sybase,Redis,MongoDB 等。中间件容器：IIS,Apache,Nginx,Tomcat,Weblogic,Jboos,glasshfish 等。开发语言，程序源码，中间件容器，数据库类型，服务器操作系统，第三方软件等。请求数据包，请求方法，请求体，响应包，响应头，状态码，代理服务器等。

小迪安全笔记，详细版本

01-23

【小迪安全笔记】详细介绍了网络安全领域的多个关键知识点，涵盖了域名、DNS系统、CDN、DNS攻击、脚本语言以及后门等方面。 1. **域名**：域名是互联网上识别计算机或计算机组的名称，由点分隔的名字组成，如...

无网环境下的终端登录安全：一个被忽视的等保盲区

安当加密

01-01

786

在等保2.0全面落地的今天，大多数企业已部署防火墙、EDR、日志审计等纵深防御体系。。尤其在的环境中（如监控室、工控机房、财务内网终端），这一风险被进一步放大。

软考系统架构设计师系列知识点之安全架构设计理论与实践（18）

最新发布

phmatthaus的专栏

01-03

软考系统架构设计师系列知识点之安全架构设计理论与实践（18）

安全隐私页面 Cordova&OpenHarmony 混合开发实战

2501_94444908的博客

12-29

480

本文介绍了家庭菜谱应用的安全隐私模块实现方案。该模块通过Cordova&OpenHarmony混合架构，Web层负责展示清理选项和确认对话框，ArkTS原生层执行实际数据操作。主要功能包括清除缓存和重置应用，通过不同按钮样式区分操作风险级别。清除缓存会删除临时文件，而重置应用则会清空所有菜谱数据。实现上采用"Web交互+原生执行"的安全分工模式，Web层处理用户确认和提示，原生层通过SecurityPlugin执行文件删除操作。该设计既保证了数据安全，又提供了良好的用户体验。

电子电器架构 --- 主机厂的安全理念（下）

Soly_kun的博客

12-29

202

摘要：本文以汽车电子工程师视角，探讨智能汽车时代的安全理念与实践。作者强调安全是主机厂的生命线，并重点分析了蔚来汽车的四大信息安全原则：最小权限原则从源头控制风险，零信任设计打破传统安全预设，分层纵深防御构建"云-管-端"防护体系。文章指出，在汽车智能化转型中，信息安全已成为维系用户信任的核心纽带，需要贯穿研发、生产、服务全流程。通过系统化的安全体系建设，才能应对日益复杂的网络安全挑战，守护用户生命财产安全。（149字）

Java 安全的单例模式详解

萧曳丶

01-01

358

单例模式是一种确保类只有一个实例并提供全局访问点的设计模式。文章详细介绍了多种实现方式：非安全的懒汉式、线程安全的饿汉式、同步方法懒汉式、双重检查锁、静态内部类以及枚举实现，并分析了各自的优缺点。特别强调了如何防止反射攻击、序列化破坏等安全隐患，提供了完整的安全单例示例。文章还比较了不同场景下的最佳实践方案，推荐简单场景用饿汉式，高安全要求用枚举实现，并介绍了现代Java中的Supplier和CompletableFuture实现方式。最后指出单例模式可能隐藏依赖关系、测试困难等问题，建议根据线程安全、性能

阿里千问安全审核大模型，本地部署，实测

12-29

712

大家好，我是 Ai 学习的老章

解锁高效安全办公新形态：信创云桌面的核心价值与行业实践

Raysync2025的博客

12-29

541

对于正走在信创深化之路上的组织而言，选择一个架构先进、生态开放、服务专业的云桌面平台，无疑将为未来的可持续发展奠定坚实的信息化基石。信创云桌面，并非简单的桌面环境虚拟化，而是以国产化核心技术为底座，构建的一套涵盖终端、接入、平台、应用与数据的完整体系。：采用高效的桌面传输协议，即使在复杂的专业图形设计、视频播放等场景下，也能保障用户获得接近本地PC的操作体验，且对网络带宽具备良好的适应性。：能够根据不同部门、岗位的需求，精准、敏捷地交付对应的桌面环境与应用，并对其全生命周期进行监控、优化与自动化管理。

AI+芯片设计：如何用Verilog打造既快又安全的硬件？

QQ_778132974的博客

12-31

281

当我们正在为某个复杂的Verilog模块苦苦思索时，AI已经能够秒生成看起来像模像样的硬件描述代码了。但这种代码真的能直接用吗？

小迪安全30天rce管道符

03-20

### 小迪安全30天RCE漏洞概述远程代码执行（Remote Code Execution, RCE）是一种高危漏洞，允许攻击者通过网络向目标系统发送恶意代码并被执行。这种漏洞通常源于应用程序未能正确验证用户输入的数据，导致恶意数据被当作可执行代码处理[^2]。在Web开发环境中，无论是基于Linux还是Windows系统的应用，都可能因不当使用某些危险函数而引发RCE漏洞。这些危险函数包括但不限于`eval()`、`exec()`、`shell_exec()`等。如果开发者未对传入的参数进行严格校验，则可能导致任意代码或命令被执行的情况发生[^3]。对于检测手段而言，可以采用多种方式来发现潜在存在的RCE风险点。其中较为常见的有白盒测试中的静态代码分析即代码审计；而在黑盒渗透过程中则更多依赖于自动化扫描工具如AWVS、XRay等辅助完成初步排查工作之外还需要结合人工经验针对特定业务逻辑深入挖掘隐藏更深的安全隐患。至于防御措施方面除了常规建议像及时更新补丁版本外还需特别注意以下几点：一是尽可能避免调用那些已知存在较高安全隐患的功能模块；二是加强对外部可控变量值范围的有效限制并通过正则表达式等方式进一步增强过滤机制强度；三是考虑部署专业的防火墙类产品作为额外防护层以抵御来自外界未知威胁入侵尝试。 ### 管道符的使用方法管道符(`|`) 是一种用于连接两个程序的标准输出与标准输入之间的特殊字符，在Unix/Linux Shell编程中有广泛的应用场景之一就是构建复杂的命令链路实现单一指令难以达成的任务目的。例如当我们想要查找当前目录下所有扩展名为“.txt”的纯文本文件并将它们的内容按字母顺序排序最后保存到一个新的汇总文档当中去的时候就可以这样写： ```bash find . -name "*.txt" | xargs cat | sort > all.txt ``` 上述例子中第一个部分 `find . -name "*.txt"` 找到了符合条件的目标列表交给第二个环节 `xargs cat` 去读取具体每一个匹配项的实际内容再传递给第三个阶段 `sort` 完成最终整理动作之后重定向存储起来形成完整的操作流程[^4]。另外值得注意的是有时候为了绕过一些简单的字符串替换型防护策略也可以巧妙运用反引号 `` 或者其他组合形式比如 `$()` 来达到相同的效果如下所示当直接书写 system('whoami') 被拦截时不妨试试下面这种方式或许就能奏效了呢？ ```php <?php echo `whoami`; ?> ``` 或者是这样的PHP语句结构也能起到相应的作用: ```php $c='id'; echo shell_exec($c); ``` 以上两种情况均利用了不同语法特性规避掉了原始黑名单模式下的简单判断规则从而实现了预期功能需求[^5]。