学网安的肆伍-优快云博客

原创【041-WEB攻防篇】ASP应用&HTTP.SYS&短文件&文件解析&Access注入&数据库泄漏

本文摘要：文章主要介绍了ASP网站相关的安全漏洞及利用方法，包括Access数据库泄漏下载、IIS中间件漏洞（如CVE-2015-1635、短文件名枚举、解析漏洞等）以及ASP-SQL注入技术。通过实际案例演示了如何利用默认安装配置缺陷获取数据库、利用中间件漏洞进行攻击，并使用SQLMAP工具进行Access数据库注入。虽然ASP技术已逐渐淘汰，但了解这些攻击思路有助于提高安全意识。文章还提供了详细的时间轴和参考链接，方便读者按需查阅。

2025-12-24 17:12:53 781

原创【040-安全开发篇】JavaEE应用&SpringBoot框架&JWT身份鉴权&打包部署JAR&WAR

本文介绍了JavaEE开发中SpringBoot框架的两个关键技术点：JWT身份鉴权和项目打包部署。在JWT技术部分，详细讲解了JWT的组成结构、工作原理及安全实践，包括依赖引入、创建配置和解析过程，并提示了潜在安全问题。在打包部署部分，对比了JAR和WAR两种打包方式的具体操作步骤，针对常见报错提供了解决方案。文章还提到源码架构安全风险，强调即使获取到JAR包也需要反编译才能获得源码。整体内容涵盖了从开发到部署的完整流程，并附有相关技术参考链接。

2025-12-18 17:23:54 944

原创【039-安全开发篇】JavaEE应用&SpringBoot框架&Actuator监控泄漏&Swagger自动化

本文摘要介绍了SpringBoot中的两个重要系统模块及其安全问题： Actuator监控系统：提供了健康检查、指标收集等功能，但存在heapdump泄漏敏感信息的风险，需通过配置禁用相关接口； Swagger接口文档系统：方便前后端协作，但会暴露应用接口，可能引发未授权访问等安全问题。文章还演示了如何利用JDumpSpider工具分析泄漏信息和Postman自动化测试接口。最后新增了视频时间戳功能，方便定位学习内容。

2025-12-17 17:47:24 840

原创【038-安全开发篇】JavaEE应用&SpringBoot框架&MyBatis注入&Thymeleaf模版注入

Spring Boot框架简化了企业级应用开发，支持Web应用、数据库操作和模板引擎等功能。在Web应用中，通过@RequestMapping等注解实现路由映射和参数传递；数据库应用通过MyBatis实现数据操作，但需注意SQL注入风险；模板引擎Thymeleaf存在3.0.0-3.0.11版本的SSTI注入漏洞。文章演示了SpringBoot在Web路由响应、MyBatis数据库操作和Thymeleaf模板引擎中的具体实现方式及潜在安全问题。

2025-12-16 12:56:12 945

原创【037-安全开发篇】JavaEE应用&JNDI注入&RMI服务&LDAP服务&JDK绕过&调用链类

JNDI支持的服务主要有：DNS、LDAP、CORBA、RMI等。RMI：远程方法调用注册表LDAP：轻量级目录访问协议简单的说，jndi就是java提供了一套针对不同协议的功能接口调用方无需关心如何调用填写对应的地址参数即可调用。

2025-12-16 00:37:34 985

原创【036-安全开发篇】JavaEE应用&第三方组件&Log4j日志&FastJson序列化&JNDI注入

这章主要是去jar包仓库找有漏洞的组件，然后看到他的cve编号，去网上搜索有关这个漏洞的复现。

2025-12-02 20:52:13 925

原创【035-安全开发篇】JavaEE应用&原生反序列化&重写方法&链条分析&触发类&类加载

1、JavaEE-反序列化-解释&使用&安全2、JavaEE-安全-利用链&直接重写方法3、JavaEE-安全-利用链&外部重写方法。

2025-11-28 22:55:16 908

原创【034-安全开发篇】JavaEE应用&反射机制&攻击链&类对象&成员变量方法&构造方法

其实从官方定义中就能找到其存在的价值，在运行时获得程序或程序集中每一个类型的成员和成员的信息，从而动态的创建、修改、调用、获取其属性，而不需要事先知道运行的对象是谁。//4、通过类加载器获得Class对象：//ClassLoader.getSystemClassLoader().loadClass(“全路径类名”);反射：给你一把钥匙，可以：打开盒子看里面的结构-私有字段，操作盒子里的东西-调用私有方法，创建新的同类型盒子-实例化对象。//2、根据对象：对象.getClass()

2025-11-27 19:20:12 974

原创【033-安全开发篇】JavaEE应用&SQL预编译&Filter过滤器&Listener监听器&访问控制

Filter被称为过滤器，过滤器实际上就是。

2025-11-22 18:24:04 720 2

原创【032-安全开发篇】JavaEE应用&Servlet路由技术&JDBC&Mybatis数据库&生命周期

1、JavaEE-HTTP-Servlet技术2、JavaEE-数据库-JDBC&Mybatis。

2025-11-19 00:55:43 1069

原创【021-信息打点篇】公众号服务&Github监控&供应链&网盘泄漏&证书图标邮箱资产

本文总结了信息打点中的各类泄漏渠道和收集技术，包括Github监控、网盘搜索等方法。详细介绍了Github搜索语法（20余种组合）、网盘全局搜索敏感文件、证书/图标/邮箱资产收集等技术要点，并提供了4个实战案例（招标平台、企查查、邮箱爆破等）。文章强调信息收集需要开阔思路，可结合404StarLink等开源项目持续更新技术，针对不同目标灵活调整收集策略。最后指出信息收集是渗透测试的基础环节，需要掌握多样化手段和持续监控能力。

2025-11-02 11:29:00 1040

原创【020-信息打点篇】小程序应用&解包反编译&动态调试&抓包&静态分析&源码架构

本项目集成了全网优秀的开源攻防武器项目，包含信息收集工具（自动化利用工具、资产发现工具、目录扫描工具、子域名收集工具、指纹识别工具、端口扫描工具、各种插件…如果你有更好的建议，欢迎提出请求。Nemo是用来进行自动化信息收集的一个简单平台，通过集成常用的信息收集工具和技术，实现对内网及互联网资产信息的自动收集，提高隐患排查和渗透测试的工作效率，用Golang完全重构了原Python版本。AsamF支持Fofa、Hunter、Quake、Zoomeye、Shodan、Chinaz、0.zone配置多个Key。

2025-10-30 20:20:31 755

原创【019-信息打点篇】小程序应用&解包反编译&动态调试&抓包&静态分析&源码架构

1、Web&备案信息&单位名称中发现小程序2、小程序资产静态提取&动态抓包&动态调试解决：1、如何获取到目标小程序信息2、如何从小程序中提取资产信息。

2025-10-28 16:30:32 928

原创【018-信息打点篇】APP资产&知识产权&应用监控&静态提取&动态抓包&动态调试

1、Web&备案信息&单位名称中发现APP2、APP资产静态提取&动态抓包&动态调试解决：1、如何获取到目标APP信息2、如何从APP信息中提取资产。

2025-10-11 11:21:14 916 2

原创【017-信息打点】语言框架&开发组件&FastJson&Shiro&Log4j&SpringBoot等

1、CMS指纹识别-不出网程序识别2、开发框架识别-PHP&Python&Java3、开发组件识别-Java常见安全漏洞组件解决：1、CMS识别到后期漏洞利用和代码审计2、开发框架识别到后期漏洞利用和代码审计3、开发组件识别到后期漏洞利用和代码审计。

2025-09-26 11:40:34 761

原创【016-信息打点篇】CDN绕过&业务部署&漏洞回链&接口探针&全网扫描&反向邮件

1、CDN服务-解释差异识别2、CDN绕过-配置差异导致3、CDN绕过-主动连接获取4、CDN绕过-全网扫描获取解决：1、CDN服务对安全影响2、CDN服务绕过识别手法。

2025-09-24 18:59:24 985

原创【015-信息打点篇】主机架构&蜜罐识别&WAF识别&端口扫描&协议识别&服务安全

芜湖，又写一篇，读者可以给我评论问问题，或者给我提建议。我觉得我写的还是比较详细的！

2025-09-22 23:50:08 1093 3

原创【014-信息打点篇】JS架构&框架识别&泄漏提取&API接口枚举&FUZZ爬虫&插件项目

本文介绍了JS前端框架渗透测试的核心知识点和方法主要内容包括：1. JS安全分析：源码泄露，或者泄露一些关键key。2. 主流的JS识别方法。3.三种JS信息提取方式：纯手工，半自动，采用全自动项目

2025-09-20 11:45:25 1162 4

原创【网络安全】PHP基础语法速览

PHP是Web安全非常重要的一环。菜鸟教程的PHP教程是一个系统学习的好地方！本文内容有限，不能面面俱到，都是这是我觉得最核心的内容，更多函数可以边打靶场的时候边查资料。（框架和大部分内容是我自己写的，ai帮忙润色）

2025-07-29 02:29:18 892

原创【解决问题】kali设置中文过程中没有出现zh_CN.UTF-8选项（也包含设置中文教学）

我跟着网上教程，设置中文的时候，遇到了这个问题：没有出现zh_CN.UTF-8选项，导致我随便选了一个东西并没有出现我想要的中文界面。

2025-07-08 12:04:37 880

原创【学习笔记】操作系统（慕课版）前三章速成

这个是慕课版操作系统期末复习，最多涵盖前九章，我也是边听边打，将自己的思考融入笔记中，希望对你有帮助！操作系统笔记来源。

2025-06-24 23:46:25 1212

原创黑马程序员学习笔记：AJAX快速入门

ajax = 异步的（JavaScript + XML）JavaScript是Web页面的一个脚本语言。而XML是可拓展标记语言，本质上是一种数据格式，可以存储复杂的数据结构。作用：数据交换：服务器和web页面之间的数据请求交流异步交互：可以在不重新加载整个页面的情况下，与服务器交换数据并更新部分网页的技术，如：搜索联想，用户名是否可用的校验等等。同步和异步。

2025-06-23 10:32:55 992

hello_wprld的博客