afei00123-优快云博客

原创 Automated_bounty_Hunter使用场景二—单域名全扫*描（改进版本）

为什么叫Automated_bounty_Hunter，翻译过来就是全自动赏金猎*人。目前已经投入到SRC漏洞挖掘和平时的渗*透测试工作中。有了它，我可以放心的进行代码审计(0day挖掘)和工具开发了。

2023-02-23 21:55:26 867

原创 Automated_bounty_Hunter全自动漏*洞赏金猎人使用场景二

对单个域名进行1-65535端*口探测，提取出常见高*危端口，其余端口作为WEB端口进行存活探测，再调用Nuclei和Xray进行WEB漏*洞扫**描。

2023-02-13 12:33:02 932

原创 Automated_bounty_Hunter全自动漏洞赏金猎人使用场景一

Automated_bounty_Hunter全自动漏洞赏金猎人使用场景一

2023-02-07 23:33:31 979

原创 SRC-某讯相册base64 bypass XSS

摘要：本文介绍了多个安全漏洞案例，包括某讯相册的XSS绕过技术（使用双层base64编码的iframe payload），某文库会员支付漏洞，某度游戏支付逻辑漏洞，以及绕过Cloudflare的XSS技巧。各漏洞均附有详细的技术分析和复现链接，为安全研究人员提供参考。这些案例展示了不同平台可能存在的安全风险，强调了输入验证和支付逻辑检查的重要性。

2025-11-06 15:53:04 148

原创 SRC-XSS Bypass Cloudflare Tips one

本文介绍了5种绕过Cloudflare WAF防护的XSS攻击方法，主要包括：1）利用SVG标签和混淆字符执行跳转；2）通过编码换行符和特殊字符构造恶意代码；3）使用Unicode编码和逻辑运算符绕过检测；4）采用字符串拼接和反引号替换括号；5）利用注释符和特殊编码注入JavaScript。这些方法展示了攻击者如何通过字符编码、语法混淆等方式突破云安全防护。文章还提供了网络安全专栏和漏洞验证SRC的参考链接。

2025-11-05 09:57:53 79

原创某度游戏超神小队存在支付逻辑漏洞

摘要：利用某度游戏平台漏洞，通过抓包修改支付参数实现低价充值。具体步骤包括：登录超神小队游戏商城，抓取月卡充值数据包，将金额参数price修改为最低支付限额1元，即可用1元购买30元月卡。该方法绕过正常支付验证，存在明显的安全漏洞。

2025-11-04 18:36:23 98

原创【蓝队面试】Struts2漏洞原理与面试中常见的问题

Struts2 S2-045/S2-046漏洞分析S2-045和S2-046是Struts2框架中的高危漏洞，允许远程代码执行（RCE）。两者本质是同一漏洞的不同触发方式：S2-045通过Content-Type头注入OGNL表达式，S2-046通过文件上传参数触发。漏洞源于Struts2对用户输入未严格过滤，导致OGNL表达式注入。攻击者可构造恶意请求获取服务器权限（getshell）。相比之前漏洞，其利用门槛更低、危害更大。

2025-10-22 11:23:44 47

原创 SRC-某文库会员新人连续包月存在支付漏洞

某文库会员优惠活动存在支付逻辑漏洞：攻击者可无限创建9元特惠订单。测试发现通过重发数据包或特定操作可绕过新客户首月优惠限制，且已支付订单仍可重复支付，导致VIP时间叠加。漏洞关键点在于未严格校验订单状态和支付限制。该漏洞已修复并获准公开，案例提醒支付类测试需细致分析每个参数逻辑。

2025-09-23 16:27:07 280

原创 SRC-文件上传导致XSS

摘要：在企业SRC测试中发现机构信息上传功能存在漏洞。测试时通过修改上传文件后缀为HTML并插入XSS代码（，成功实现跨站脚本攻击。访问上传路径即可触发XSS。该漏洞表明系统未严格校验上传文件类型，除HTML外，PDF、SVG等文件类型同样可能被利用。目前漏洞已修复。

2025-09-23 11:28:07 367

原创人工智能训练师三级（高级）166道单选题（含答案）

人工智能训练师三级（高级）166道单选题（含答案）

2024-12-08 10:43:56 2044

原创 2023年信息安全工程师摸底测试卷

2023年信息安全工程师摸底测试卷

2024-10-30 20:00:00 453

原创七、安全运营—概念

控制特权帐号：账号类型

2024-10-08 18:15:00 255

原创上海-三轮摩托车—D证考试心得

上海-三轮摩托车—D证考试心得

2024-07-14 22:21:32 689

原创上海-三轮摩托车—D证科目四错题记录

上海-三轮摩托车—D证科目四错题记录

2024-07-12 22:28:25 293

原创上海-三轮摩托车—D证科目一错题记录

上海-三轮摩托车—D证错题记录

2024-07-11 23:55:33 251

原创六、资产安全—信息分级资产管理与隐私保护练习题（CISSP）

六、资产安全—信息分级资产管理与隐私保护练习题（CISSP）

2024-06-28 23:15:14 305

原创六、资产安全—信息分级资产管理与隐私保护（CISSP）

六、资产安全—信息分级资产管理与隐私保护（CISSP）

2024-06-28 23:08:40 536

原创六、资产安全—数据管理（CISSP）

六、资产安全—数据管理（CISSP）

2024-06-19 22:28:04 492

原创三、安全工程练习题（CISSP）

三、安全工程练习题（CISSP）

2024-06-10 19:02:09 512

原创身份与访问管理和通信和网络安全练习题（CISSP）

身份与访问管理和通信和网络安全练习题（CISSP）

2024-06-10 18:13:02 358

原创五、身份与访问管理—身份管理和访问控制管理（CISSP）

五、身份与访问管理—身份管理和访问控制管理

2024-06-08 23:31:45 544

原创业务安全蓝军测评标准解读—业务安全体系化

业务安全蓝军测评标准解读—业务安全体系化近日，深圳市某安科技Threatening Hunter发布了《业务安全蓝军测评标准》白皮书。确实在国内业务安全做了实践，对国内业务安全的发展和重视起到了推动作用。

2024-06-05 22:35:59 622

原创五、身份与访问管理—身份与访问管理基础与访问控制模型（CISSP）

五、身份与访问管理—身份与访问管理基础与访问控制模型（CISSP）

2024-06-05 20:27:45 337

原创联软安全助手卸载教程

联软安全助手卸载教程。最新版联软安全助手卸载教程。有点...

2024-06-01 11:05:52 7179

原创 2024年4月—马克思主义基本原理概论真题及答案解析（上海自考）

2024年4月—马克思主义基本原理概论真题及答案解析（上海自考）

2024-05-28 22:31:20 1248

原创四、通信和网络安全—局域网|广域网|远程连接和攻击技术（CISSP）

四、通信和网络安全—局域网|广域网|远程连接和攻击技术（CISSP）

2024-05-28 22:24:55 733

原创 paddlepaddle/paddle 命令注入漏洞复现_$1500 CVE-2024-0934

paddlepaddle/paddle 的prune_by_memory_estimation方法中存在命令注入漏洞。攻击者可利用该漏洞执行任意命令执行。从而获取服务器权限。

2024-04-22 20:55:42 979 1

原创四、通信和网络安全—网络通信基础与网络基础设施（CISSP）

四、通信和网络安全—网络通信基础与网络基础设施（CISSP）

2024-04-21 23:09:52 401

原创【13137】质量管理（一）2023年4月自考真题

【13137】质量管理（一）2023年4月自考真题

2024-04-13 23:28:10 256

原创【13137】质量管理（一）2024年4月串讲题组一

【13137】质量管理（一）2024年4月串讲题组一

2024-04-13 22:57:31 278

原创【13137】质量管理-速记宝典【全国通用】

【13137】质量管理-速记宝典【全国通用】

2024-04-13 22:28:45 254

原创【03709】24年4月马克思主义基本原理概论考前密卷1

【03709】24年4月马克思主义基本原理概论考前密卷1

2024-04-12 22:29:35 142

原创【03709】24年4月马克思主义基本原理概论考前密训—选择/简答题-2

【03709】24年4月马克思主义基本原理概论考前密训—选择/简答题-2

2024-04-12 20:35:12 187

原创【03709】24年4月马克思主义基本原理概论考前密训—选择/简答题

【03709】24年4月马克思主义基本原理概论考前密训—选择/简答题

2024-04-12 15:54:42 136

原创【03709】24年4月马克思主义基本原理概论考前密训—选择题

【03709】24年4月马克思主义基本原理概论考前密训—选择题

2024-04-12 11:58:23 191

原创【00150】金融理论与实务-2023年4月自考真题

【00150】金融理论与实务-2023年4月自考真题

2024-04-12 10:27:23 358

原创【13137】第六章过程管理

【13137】第六章过程管理

2024-04-11 22:35:27 186

原创【13137】基于TQM的人力资源管理

【13137】基于TQM的人力资源管理

2024-04-11 20:43:45 230

原创【13137】第四章领导与战略计划

【13137】第四章领导与战略计划

2024-04-11 12:48:03 381

原创【13137】第三章以顾客为中心

【13137】第三章以顾客为中心

2024-04-10 22:28:50 212

蓝队福利HVV辅助工具-yiansec-Linux

支持Linux主机巡检和Webshell扫描，帮助蓝队师傅减轻工作量。

2025-10-18

win 10安装配置Ubuntu子系统.docx

本文档介绍了win 10安装配置Ubuntu子系统。从换源、X-windows远程连接Ubuntu、安装配置桌面环境、安装mysql、配置ssh远程连接...等方面详细配置

2020-10-04

WSL配置docker.docx

本文档详细介绍了WSL安装docker，步骤详细。以及详细介绍了WSL部署Docker所遇到的问题。

2020-10-13

配置WSL 2兼容Linux子系统.docx

本文档介绍了如何在Windows上使用wsl玩转Linux子系统。wsl常用命令解析和使用，以及wsl和wsl2在使用过程中的一些区别和问题。

2020-10-14

计算机网络基础.docx

本文档详细介绍了计算机网络基础，从计算机网络的定义、介质、分类、网络分层(OSI、TCP/IP)等方面进行介绍讲解

2020-09-13

Flask入门.docx

该flask入门文档详细介绍了flask基础，从flask的安装、flask简单应用编写、route、变量规则、URL重定向和构建、已经Jinja2渲染模板等方面，通过代码实例实现

2020-10-16

Click Jacking点击劫持漏洞验证.pdf

本文详细讲解Click Jacking点击劫持漏洞原理及利用方式。该漏洞成功利用的关键就是能够将伪造的网页源码覆盖到目标页面上，并且在受害者不知情的情况下诱导进行操作，可将操作记录打印输出到控制台。攻击者也可通过技术手段将受害者的操作记录传回自己的服务器。

2020-12-25

PWNHUB-公开赛一期MISC-Perseverance（WP）.pdf

这一道题，写了10页，这个WP还是参考pcat师傅的WP写的，我很菜，真的菜

2021-03-22

Linux系统加固.pdf

从系统密码策略、管理系统账号和用户、设置系统的umask值，等等方面加固Linux系统安全，并且基于shell脚本实现。

2020-08-23

VMware虚拟机安装kali详细版.docx

详细记录了VMware安装kali操作系统记录，从设置cpu、内存、磁盘大小和kali系统分区。适合小白学习。

2020-08-31

win10上使用Wampserv(PHPstudy)搭建DVWA靶场环境.docx

详细记录了在Windows上使用WAMP或者PHPstudy搭建DVWA靶场环境，以及搭建过程中碰到的问题和解决办法。

2020-08-31

Centos7.x搭建Snort IDS入侵检测环境.pdf

本文详细记录了Centos7.x搭建Snort IDS入侵检测环境，以及在这过程中碰到的问题。使用到的软件包有：snort-2.9.15.1-1.centos7.x86_64.rpm、Pulledpork、 snortrules-snapshot-29151.tar.gz、Barnyard2、Adodb、Base

2020-09-02