Doonsec's feed

Doonsec's feedhttp://wechat.doonsec.com/Mzg4Njk1NDg5NQ.xmlThe latest security articles about WeChat official accountzh-CNWed, 18 Mar 2026 18:21:25 GMTPyRSS2Gen-1.1.0http://blogs.law.harvard.edu/tech/rsshttp://wechat.doonsec.com/Doonsechttp://wechat.doonsec.com/static/front/img/doonsec_bak3.png安全小知识-第二十八期_白帽子挖漏洞的思维破壁https://mp.weixin.qq.com/s/_HIk2H3YB1o0kY_0ZD2T9A在漏洞挖掘的世界里，技术是基本功，但决定你能发现多深、多重漏洞的，往往是技术之外的思考维度。今木信息安全今木信息安全2026-03-18T11:30:28安全小知识-第二十七期_潜伏的威胁：深入理解二次注入漏洞的机制与应对https://mp.weixin.qq.com/s/_3PW6p68A29aBRCuodLauA在Web安全领域，SQL注入是经久不衰的高危漏洞。开发者在长期对抗“一次注入”（即用户输入直接进入SQL查询）的过程中，普遍建立了输入过滤和转义的意识。今木安全今木安全2026-03-11T11:30:15安全小知识-第二十六期-汽车远程入侵实战手册：从攻击链条到核心防御https://mp.weixin.qq.com/s/ot74cuoNsnBiYdbW4To5jQ电影里的“僵尸车”场景正在成为网络安全领域的现实威胁。今木安全今木安全2026-03-06T17:03:00安全小知识-第二十五期_智能硬件（IoT）安全https://mp.weixin.qq.com/s/Jx0CsPO-H5tg4QWPbZtYgA引言：从概念到实战的跨越智能硬件的安全性已从泛泛而谈的风险，演变为可被标准化评估、复现与利用的实战技术领域。今木安全今木安全2026-02-27T11:32:20安全小知识-第二十四期_Webshell检测技术的思考https://mp.weixin.qq.com/s/i7lzTJicjk3RBusN2I3l4g从简单的正则匹配到复杂的AI行为分析，Webshell检测技术经历了一场深刻的变革。今木安全今木安全2026-02-10T11:31:00安全小知识-第二十三期_Struts2的“幽灵漏洞”：S2-045/046为何至今仍有警醒意义？https://mp.weixin.qq.com/s/u6WcWv0foJcFGjTLJwwL6Q看似无懈可击的异常处理流程，却成为攻击者直通系统核心的大门。今木安全今木安全2026-02-06T11:30:51安全小知识-第二十二期_构建企业级分布式漏洞扫描器https://mp.weixin.qq.com/s/PAVexC4X5iEFuHUB-c2jqA在Web应用漏洞检测中，传统单机扫描器常因爬虫覆盖力不足、扫描效率低下等问题影响检出率。今木安全今木安全2026-02-03T17:00:41安全小知识-第二十一期_网站安全检测工具：从入门到精通，做一名合格的白帽子https://mp.weixin.qq.com/s/oBNSFPB03dY8-Iga3BosJA引言：重新认识手中的“利器”在网络安全领域，工具是每一位白帽子的延伸手臂与第二大脑。今木安全今木安全2026-01-28T11:33:51安全小知识-第二十期_Redis未授权访问漏洞利用与修复https://mp.weixin.qq.com/s/Wb6D_-pHQZVjemZti3QGsQRedis因其高性能而备受青睐，但其默认配置的“零安全”策略也带来了严峻的挑战。今木安全今木安全2026-01-22T11:30:16安全小知识-第十九期_域名爆破技巧思考https://mp.weixin.qq.com/s/fmk3x8uZM_GSKbkwjLCesw域名爆破，是渗透测试中信息收集阶段的核心技术。它如同网络空间的探测雷达，旨在发现那些未公开、却真实存在的网络资产。今木安全今木安全2026-01-15T11:30:31安全小知识-第十八期_验证码的终极攻防：从图文破解到无感博弈https://mp.weixin.qq.com/s/BpS4zanEzWI2Yu6j8nAYDw验证码（CAPTCHA）是现代网络安全的基石之一，其发展史堪称一场精彩绝伦的“军备竞赛”。今木安全今木安全2026-01-07T17:00:31安全小知识-第十七期_XPath注入漏洞：从原理到实战https://mp.weixin.qq.com/s/q6mLhfh2t-zkffEha7h_ZgXPath注入漏洞：从原理到实战的完整指南一、漏洞核心原理深度解析技术本质：XPath注入是一种代码注入攻击，今木安全今木安全2026-01-04T11:34:13安全小知识-第十六期_企业Java代码审计参考https://mp.weixin.qq.com/s/guWVkPlu04ugc5u7-tUVyg一、Java代码审计的必要性与价值在企业级开发中，代码审计是确保软件供应链安全的关键环节。今木安全今木安全2025-12-25T17:00:57安全小知识-第十四期_智能设备渗透https://mp.weixin.qq.com/s/mfs7b8xDJdbbkT00q23jgQ智能设备（IoT）的浪潮已席卷全球，但其安全状况却如同一枚枚“数字地雷”，潜藏在我们的生活与关键基础设施中。今木安全今木安全2025-12-19T17:01:38安全小知识-第十四期_服务器安全基线https://mp.weixin.qq.com/s/hpYOw_u22jo-8ZXGuS942Q今木安全今木安全2025-12-18T11:30:28安全小知识-第十三期_权限安全治理https://mp.weixin.qq.com/s/2I2OJkV6-S3ltSwjRWdlVQ引言随着信息系统规模与复杂度的不断提升，越权漏洞逐渐成为企业面临的核心安全威胁之一。今木安全今木安全2025-12-02T11:30:36安全小知识-第十二期_越权漏洞解析https://mp.weixin.qq.com/s/lOt_s26gCtzT7PT6uNZaFg一、漏洞定义与核心机制越权漏洞（Privilege Escalation Vulnerability）是一种今木安全今木安全2025-11-18T11:30:40安全小知识-第十一期_交易支付逻辑漏洞https://mp.weixin.qq.com/s/vaiRXmfk2CzwySYLegB0og今木安全今木安全2025-11-13T11:31:04安全小知识-第十期_密码找回逻辑漏洞分析https://mp.weixin.qq.com/s/TdZuhTJfXIK-9PkiEJYDHQ好的，我们来对这份文档进行更深入、更系统的分析和扩展，将其转化为一份可供开发和测试人员直接使用的“攻防指南”。今木安全今木安全2025-11-11T17:01:07安全小知识-第十期_金融反欺诈实战解析https://mp.weixin.qq.com/s/pgOWg7mQPYvtKuPBuGBO0Q今木安全今木安全2025-11-03T11:30:24安全小知识-第九期-零基础漏洞挖掘入门https://mp.weixin.qq.com/s/S9tpjJO4T-nE4fAuBXlgvQ今木安全今木安全2025-10-30T11:31:08安全小知识-第八期-SSRF漏洞深度剖析https://mp.weixin.qq.com/s/AfOho42OaRqLC-przopTkgSSRF漏洞深度剖析SSRF（Server-Side Request Forgery）作为渗透测试中危害性极高今木安全今木安全2025-10-16T11:30:48安全小知识-第五期-DNS安全技术深度解析https://mp.weixin.qq.com/s/APZj0PfOQMG4PEdYi858ww今木安全今木安全2025-10-10T17:04:59安全小知识-第五期-SSL/TLS ：构建可靠的数据传输保护https://mp.weixin.qq.com/s/dsaFuZgxqGDyI9j3jYN5cQ今木安全今木安全2025-09-26T19:39:45安全小知识-第五期-企业安全漏洞响应机制扩展：从应急止损到主动防御https://mp.weixin.qq.com/s/DOPFoZuXkv4gjGQmFWHX8w企业安全漏洞响应机制扩展：从应急止损到主动防御01 漏洞响应：唯快不破\\x26quot;天下武功，唯快不破\\x26quot;。今木安全今木安全2025-09-23T11:31:12安全小知识-第四期-深入探索威胁情报：从概念到实战https://mp.weixin.qq.com/s/D0bPbbXnu4tQh6bwg3yn7g今木安全今木安全2025-09-19T11:30:22安全小知识-第三期-APP安全加固技术https://mp.weixin.qq.com/s/YtmYw6YxInouaMN4T-DxNg今木安全今木安全2025-09-15T11:31:46安全小知识-第二期-App手工安全检测（笔记）https://mp.weixin.qq.com/s/9wHFojnPAD9rrLyX_Np5vw今木安全今木安全2025-09-09T11:30:18【已复现】百度网盘Windows客户端存在远程命令执行漏洞https://mp.weixin.qq.com/s/hbNZw8cCtufo0VEVmDLw3Q“洞”悉网络威胁，守护数字安全。今木安全今木安全2025-09-04T15:08:38安全小知识第一期（笔记）https://mp.weixin.qq.com/s/Ujufw56XZmzZ4BQu0nE52A今木安全今木安全2025-09-04T11:02:38Frida 多版本管理与一键部署https://mp.weixin.qq.com/s/ZGPKB8flt9QJLPGG3fh-bg今木安全今木安全2025-09-02T02:06:55Java代码审计第七章-任意文件上传漏洞（上）https://mp.weixin.qq.com/s/CcU-U0FGtXgAoay0c0nPSw安全漏洞-任意文件上传漏洞（上）-Java代码审计今木安全今木安全2025-06-25T19:52:34URL跳转漏洞-原理到实战https://mp.weixin.qq.com/s/6qeldyZW6nGcIcFsapT6CQ安全漏洞-URL跳转重定向漏洞-Java代码审计今木安全今木安全2025-06-19T00:03:27URL跳转漏洞-原理到实战https://mp.weixin.qq.com/s/-23HwC0-Jz2MKas1mCA9lQ1. 定义URL跳转漏洞（开放重定向漏洞）发生在Web应用程序未经验证地将用户重定向到第三方URL时。今木安全今木安全2025-06-18T20:21:49第五章序列化与反序列化漏洞（下）Shiro反序列化漏洞利用汇总（Shiro-550+Shiro-721)https://mp.weixin.qq.com/s/iB7qzBK3vG1hFQ0ZqL0yIAApache Shiro是一个强大易用的Java安全框架，提供了认证、授权、加密和会话管理等功能。今木安全今木安全2024-06-04T10:41:52第五章序列化与反序列化漏洞（上）ysoserial 使用https://mp.weixin.qq.com/s/6i61rRP6gIDZWhucaQOCWwysoserial 概念加深\\x0d\\x0a ysoserial 的核心是利用 Java 序列化机制中的漏洞来执行代码。今木安全今木安全2024-05-07T10:48:10java代码审计第五章序列化与反序列化漏洞（上）https://mp.weixin.qq.com/s/paiJSKBXKy2uH1ysClSjIAJava反序列化漏洞解析今木安全今木安全2024-04-19T12:00:32Java代码审计的第四章- 命令执行漏洞https://mp.weixin.qq.com/s/jVVUQ6hD0kHh8Jg9uqXXMg定义–命令执行漏洞是指应用有时需要调用一些执行系统命令的函数，如果系统命令代码未对用户可控参数做过滤，则当用今木安全今木安全2023-09-07T10:51:17Java代码审计的第三章- 服务器端请求伪造https://mp.weixin.qq.com/s/xxKDh5Fm94fJQNlsIqFrEA服务端请求伪造，又叫ssrf， Web应用程序往往会提供一些能够从远程获取图片或是文件的接口，在这些接口上用今木安全今木安全2023-08-21T19:08:12Java代码审计的第二章-跨站脚本https://mp.weixin.qq.com/s/iOiL0u-P9buKPxeOZKMQ7Q正式学习之前，先问下自己以下几个问题1.sql注入是什么2.在代码中具有什么特征3.如何发现他4.如何修复5今木安全今木安全2023-04-29T22:50:37Java代码审计的第一章-SQL注入https://mp.weixin.qq.com/s/BDDvbmaxb-nEAJZBGI3_Pw正式学习之前，先问下自己以下几个问题1.sql注入是什么2.在代码中具有什么特征3.如何发现他4.如何修复5今木安全今木安全2023-04-27T01:26:41java代码审计靶场搭建https://mp.weixin.qq.com/s/1Q3_5HeuVZPBJLhlDOfATQ今木安全今木安全2023-04-26T00:11:34