http://wechat.doonsec.com/MzkzMzYzNzIzNQ.xmlThe latest security articles about WeChat official accountzh-CNThu, 19 Mar 2026 09:38:10 GMTPyRSS2Gen-1.1.0http://blogs.law.harvard.edu/tech/rsshttp://wechat.doonsec.com/http://wechat.doonsec.com/static/front/img/doonsec_bak3.pnghttps://mp.weixin.qq.com/s/JhhorGnR0ARUuILaIX1i4Q当AI已经能够生成以假乱真的信息、编写恶意代码或无意中放大社会偏见时，我们是否拥有有效的“刹车”系统？安全驾驶舱安全驾驶舱2026-03-18T21:20:26https://mp.weixin.qq.com/s/yYk0iISgFMyT4NiZlml5Fw什么是 PHP 反序列化？安全驾驶舱安全驾驶舱2026-03-16T22:15:34https://mp.weixin.qq.com/s/jLqXsP_NcPHJ_7YfmIb-1g继上期的信息收集工具分享，本期主要介绍一些nday漏洞利用的的工具，涉及扫描工具、nday综合利用工具、部分特定框架、特定漏洞的nday扫描器。安全驾驶舱安全驾驶舱2026-03-13T13:09:55https://mp.weixin.qq.com/s/DLOTubZeUzPkawCNqAqjgg本文分享了一些nacos常见漏洞安全驾驶舱安全驾驶舱2025-12-26T10:53:16https://mp.weixin.qq.com/s/LykwXuQejW-5bmx7f_hx1Q本文主要对往期文章用到的信息收集、敏感信息发现的工具做出梳理，以及配合案例介绍存储桶遍历、MQTT监听、阿里云存储桶可视化工具。安全驾驶舱安全驾驶舱2025-12-25T09:33:43https://mp.weixin.qq.com/s/3OgwlWEFjTFT0_5oQhbV1w在webpack前端开发中使用插件对js代码进行混淆加密，保护业务逻辑。安全驾驶舱安全驾驶舱2025-12-23T15:30:45https://mp.weixin.qq.com/s/M_hwmsQOUjXIobyHdlDjdA前言PHP代码审计学习，所用CMS为个人感觉很适合审计学习的一套CMS，涉及到前台文件分析、SQL注入点查找、安全驾驶舱安全驾驶舱2025-12-22T14:52:04https://mp.weixin.qq.com/s/am8fDxN3MrE_efExfuvDoA本文将对6种基于大模型的渗透测试工具做调研学习，通过对原理及架构分析，系统梳理其设计思路、核心能力与实现路径，希望为后续工作中的技术决策提供参考依据。安全驾驶舱安全驾驶舱2025-12-18T15:11:20https://mp.weixin.qq.com/s/0YMmwO1EyF740BpmV_yuHQ背景近日曝光的CVE-2025-55182漏洞引发广泛关注，该漏洞存在于React-RCS框架中，攻击者通过构安全驾驶舱安全驾驶舱2025-12-15T15:23:36https://mp.weixin.qq.com/s/BStzIrQdEWLGpG_Y0iAm5Q本文分享关于双向加密的小程序如何进行渗透测试的思路。安全驾驶舱安全驾驶舱2025-09-28T16:56:42https://mp.weixin.qq.com/s/FW14U7gq_RiiBEEZSgyikQ本文分享了红队隧道工具：Neo-reGeorg的使用经验安全驾驶舱安全驾驶舱2025-09-28T12:43:32https://mp.weixin.qq.com/s/5cOMSmNlzr8jhz0xj8GtMg近期的APP安全测试项目中，发现了一些APP客户端敏感信息泄露问题，危害还是挺大的，在这里举一反三、由点到面，对整体业务的前端敏感信息泄露排查做个总结，包括WEB应用、微信小程序、企微应用、移动端APP。安全驾驶舱安全驾驶舱2025-09-26T16:10:40https://mp.weixin.qq.com/s/vgX3vSIuVhMXt0B_AbOgjw在Web安全测试中，webpack打包后的JS文件分析常面临结构复杂、敏感信息提取困难等挑战。本文尝试结合Burpxa0Suite与HaE插件，分享一种获取打包JS文件并查找接口信息的思路与操作方法，希望能为读者提供参考方向。安全驾驶舱安全驾驶舱2025-09-26T10:12:09https://mp.weixin.qq.com/s/w8lFU8WmassMRVWvXnt-dQ某次对系统测试时发现的jenkins弱密码，遂搭建靶场尝试复现和利用安全驾驶舱安全驾驶舱2025-09-25T13:28:01https://mp.weixin.qq.com/s/YSQfYnoYz8K7y7UN4VwgXA最近遇到很多应用系统使用前端安全技术，来保障用户与服务端的通讯，例如数据加密、解密、签名，这样就不好简单的在burpsuit中重放请求进行安全安全测试，本文介绍mitmdump工具，来破解这个难题。安全驾驶舱安全驾驶舱2025-07-16T17:25:51https://mp.weixin.qq.com/s/tHcZgh7zvoNOQKQ3CA6mhg近期微软修复了编号为CVE-2025-33073的SMB提权漏洞，该漏洞是NTLM Relay攻击的变种，属于NTLM Reflection攻击安全驾驶舱安全驾驶舱2025-06-20T14:43:35https://mp.weixin.qq.com/s/T5k4UN2DgFpOaRVOp1_sIA本文旨在分享在排查多个nday的时候使用nuclei的一点心得与经验安全驾驶舱安全驾驶舱2025-06-19T11:09:24https://mp.weixin.qq.com/s/lBy29RdqwhW7ou2Ds95UpAheapdump文件泄露敏感信息实战，以及从其中获取到敏感信息后利用方式示例。安全驾驶舱安全驾驶舱2025-06-18T16:29:19https://mp.weixin.qq.com/s/ccjX4bpR-Q-DpndNIQMMfQ如何只用Yakit实现小程序抓包、反编译、逆向加密算法？安全驾驶舱安全驾驶舱2025-06-17T17:02:52https://mp.weixin.qq.com/s/aNDS5NwS_Brij0qvSwB7Yg背景免杀技术的核心目标是绕过杀软（AV）、终端检测响应（EDR）和云端沙箱的三重检测体系。安全驾驶舱安全驾驶舱2025-06-16T15:47:54https://mp.weixin.qq.com/s/h5CK2eIBVOmIHpQ_a5pDQg本文通过Pytorch深度学习框架实现对XSS文本的检测，通过模型搭建直观展现CNN模型的训练流程，最后引出在模型安全层面的思考安全驾驶舱安全驾驶舱2025-04-29T17:28:41https://mp.weixin.qq.com/s/KAUh9KBGgMlgonaPOE6oFQ背景Spring Boot Actuator 是 Spring Boot 生态系统中的一个关键组件，旨在提供对安全驾驶舱安全驾驶舱2025-03-20T11:14:48https://mp.weixin.qq.com/s/U9abHw3TnfeyNVx46IQ3FA本文将从ADCS的常见漏洞入手，探讨ESC8漏洞的原理、攻击过程以及防御策略，为读者提供一定的参考安全驾驶舱安全驾驶舱2025-03-19T10:49:11https://mp.weixin.qq.com/s/CCJHSn07pJ5XFA9R-Ci4nA本文分享了短信轰炸的排查思路与常见绕过方式，为企业进行短信轰炸批量排查提供一个可行方案。安全驾驶舱安全驾驶舱2025-03-18T14:59:37https://mp.weixin.qq.com/s/iGldGAwBAeZgKIa6MDS4Ow本文将重点介绍 AWS平台的安全能力覆盖，帮助企业理解如何构建安全的云环境。作为全球领先的云服务提供商，AWS通过多层次的安全服务，覆盖身份管理、数据保护、网络防护、威胁检测与合规治理等领域。安全驾驶舱安全驾驶舱2025-03-17T14:29:40https://mp.weixin.qq.com/s/JEdNu8iJ80CpGXYC-GGObQ某次项目上的一次从Web站点到小程序的渗透测试经历，写出来仅做思路分享。安全驾驶舱安全驾驶舱2025-03-13T15:04:31https://mp.weixin.qq.com/s/oEGNxc8JEfxpoB81YEmWzg近年来，JNDI（Java Naming and Directory Interface）相关的安全漏洞频繁成为企业级Java应用的重大威胁。安全驾驶舱安全驾驶舱2025-03-12T11:10:35https://mp.weixin.qq.com/s/HP4raEfHFtcDTE5Txdux5g黄金票据攻击利用域控xa0krbtgtxa0账户的xa0NTLM Hashxa0伪造xa0Kerberos TGT，从而在域内获取任意权限，甚至长期保持访问权限。由于该攻击能够绕过正常身份认证流程，那么流量层能做到什么力度的检测和效果？安全驾驶舱安全驾驶舱2025-03-11T10:30:22https://mp.weixin.qq.com/s/mKa8opSMVCoQ6dNXxj-93w本文旨在通过分析其中和内网横向相关的几个工具脚本特征，增进对其执行机制的了解。这样不仅有助于更有效地运用和拓展这些工具，还可能为安全分析人员在应急响应和溯源分析工作中提供一些有益的思路。安全驾驶舱安全驾驶舱2024-12-20T14:16:07https://mp.weixin.qq.com/s/1w0FjkzWz4FzZY8VLc3H4Q随着云技术逐步发展，云资源被运用在各个领域，aksk泄露的风险也逐渐得到越来越多的关注。本文提供对本地文件、日常浏览器访问js文件、安全测试期间抓包数据进行aksk泄露排查的简要方案，以及对aksk泄露文件、权限的排查思路。安全驾驶舱安全驾驶舱2024-12-09T15:24:15https://mp.weixin.qq.com/s/oaRq010I85ub_ga8yJu_ZQ实际业务当中很多Spring接口未授权，都存在于比较深的自定义路径下面，这时候如何高效Fuzz是个问题。安全驾驶舱安全驾驶舱2024-11-22T16:12:24https://mp.weixin.qq.com/s/6QZaW_SBAHQhEzWAsQwNWg了解WAF绕过技术对于网络安全专业人员加强防御和渗透测试人员强化进攻都有着至关重要的意义。安全驾驶舱安全驾驶舱2024-11-08T11:04:35https://mp.weixin.qq.com/s/9KaeY-1FdYU86Yuuhs1kiQ安全驾驶舱安全驾驶舱2024-10-28T13:58:00https://mp.weixin.qq.com/s/u5mtL0T3cy75nRF6pTMooA企业的外部攻击面，即暴露在互联网上的系统、服务和应用，正成为黑客攻击的首要目标。为此，寻求行业认可的解决方案ASM（外部攻击面管理），来帮助企业发现、监控和管理这些暴露的资产，从而提升整体的安全防护能力。安全驾驶舱安全驾驶舱2024-10-21T13:37:34https://mp.weixin.qq.com/s/pMbPS0gzVEaUIVJYesHafQ安全驾驶舱安全驾驶舱2024-10-09T14:10:36https://mp.weixin.qq.com/s/2-OZaK7ms36qIH9AupRnnA内网中经常碰到Nacos资产，笔者对于Nacos配置文件的一些衍生利用思路做了总结。安全驾驶舱安全驾驶舱2024-09-25T10:57:52https://mp.weixin.qq.com/s/RJdT_FKiFhW-vJcDhOKCXQ邮件安全的建设本质还在在于“矛”和“盾”的思考和较量，在安全的实战中，攻击者如何基于邮件安全寻求新的防护突破点，而防守方基于攻击者的手法思考如何补足体系的短板。安全驾驶舱安全驾驶舱2024-09-18T15:31:53https://mp.weixin.qq.com/s/nWYxivgDkBaZy_eb5twRjQ随着微信小程序的信息泄露问题逐步得到重视，本文记录介绍从0开始到完成微信小程序解包的排查实施过程。安全驾驶舱安全驾驶舱2024-09-13T15:12:24https://mp.weixin.qq.com/s/wLVWd5g_mfxrB0zbdogzZQpostMessage 是一种跨源通信的方法不受“同源策略”限制，允许不同源的网页之间进行安全通信，常用的跨域通信方法还包括 CORS、JSONP。它广泛应用于许多现代Web应用中，比如嵌入的iframe和跨窗口的消息传递。安全驾驶舱安全驾驶舱2024-09-09T14:44:50https://mp.weixin.qq.com/s/sybUnv9fjut9CnZZZ-Y6Eg在软件安全领域，壳程序作为一种保护手段，广泛应用于软件的版权保护、防篡改和防止逆向工程。安全驾驶舱安全驾驶舱2024-09-03T09:59:16https://mp.weixin.qq.com/s/aCLLJSjZg3saxrPwlxFsCA前段时间打CTF遇到了一道web，解压附件打开app.py查看题目源码，第一眼疑惑sanic是什么东西，看了一安全驾驶舱安全驾驶舱2024-08-12T13:30:41https://mp.weixin.qq.com/s/ZBA-Nr5gSwbtghIEp6GGJQ随着需要响应的漏洞逐步增多，为降低人力成本，需要渐渐开始考虑自动化的方案，该工具可以根据POC数据包自动进行简单pocsuit排查脚本的书写，当前可支持字符串、正则、hash三种匹配方式。安全驾驶舱安全驾驶舱2024-07-23T15:51:08https://mp.weixin.qq.com/s/Ey9d7XnYZmcHJyWRfq4URg在进行内网渗透的时候，VMware vCenter人称小域控，拿下它即相当于拿下了上面所有的机器，本文便是针对vCenter的打法技巧\\x26amp;坑点的记录。安全驾驶舱安全驾驶舱2024-06-27T09:45:33https://mp.weixin.qq.com/s/sCjMMfFYLnGipVoR_tOyww最近在APP渗透测试中经常发现组件导出漏洞，遂写下这篇文章对这个知识点进行归纳、总结。安全驾驶舱安全驾驶舱2024-06-20T13:38:53https://mp.weixin.qq.com/s/4LGC3OdHonbP5XoGy5mSFA深入了解容器世界的安全机制!不再枯燥乏味，让我们一起探讨容器如何运用\\x26quot;神操作“保护自己，确保容器安全无懈可击!安全驾驶舱安全驾驶舱2024-06-07T11:12:12https://mp.weixin.qq.com/s/M_w-iAtWBJ9_Sej2nIke4A在临近春节之前参加了2024RealWord CTF比赛，其中印象比较深刻的是Be-More-Elegant 文件上传题，如果没有看过源代码而直接黑盒测试的话，显然就掉进了坑里，因为怎么ByPass绕过都不会上传解析。安全驾驶舱安全驾驶舱2024-05-16T14:14:30https://mp.weixin.qq.com/s/Z_xxHHiw3290Wz_jN0tL5A在域控的日常运营中，发现几台域控存在Nopac权限提升漏洞，攻击者利用该漏洞可直接从普通域内用户身份提升至域控管理员权限安全驾驶舱安全驾驶舱2024-04-30T13:25:33https://mp.weixin.qq.com/s/WhvpcA99MVPk7SHxxxd2Nw这篇文章将以响应处理CVE-2023-38646作为范例为大家展现针对时效漏洞响应的大致操作流程以及遇到的一些常见的问题的解决方案。安全驾驶舱安全驾驶舱2024-04-12T10:50:31https://mp.weixin.qq.com/s/S181PPL6HeoIUwoN2Droxg背景 企业的网络安全已经成为维护信息资产和保障业务连续性的关键。安全驾驶舱安全驾驶舱2024-03-07T15:43:03https://mp.weixin.qq.com/s/d6usInSDxoRwQjTbU84cCA移动设备如智能手机和平板电脑已成为人们日常生活和工作的不可或缺的一部分。庞大的用户群体使得移动端成为攻击者的主要目标，这篇文章将为大家展现如何对Android应用进行动态注入攻击，以及对这种攻击的防范。安全驾驶舱安全驾驶舱2024-02-19T17:21:45https://mp.weixin.qq.com/s/74CWkGmWuJa4xrRrHlV-_g祝福大家新年快乐、龙年大吉安全驾驶舱安全驾驶舱2024-02-05T16:22:35https://mp.weixin.qq.com/s/ei_zhrxoselXzvRpVrlcOQ随着互联网经济的发展，越来越多的传统企业将业务迁移云上完成，也致使云上业务所面临的安全问题愈发突出，给企业带来不同程度的经济损失及品牌影响。大型企业在上云过程中会根据需求选择不同云服务厂商搭建自己的业务安全驾驶舱安全驾驶舱2024-01-26T13:53:16https://mp.weixin.qq.com/s/JajSVoSNwV3z9b9Tda4cjw在某次攻防演练中，某企业的域控服务器被打穿了。最后复盘分析才发现，是域控因为基于资源的约束性委派而被拿下，于是业务方不理解为什么会被拿下，漏洞补丁都打了，怎么还被拿下？安全驾驶舱安全驾驶舱2024-01-17T09:00:11