先知技术社区

文件上传功能作为现代Web应用的核心交互模块，其安全防护水平直接关系到系统的整体安全性。本文基于OWASP、CVE等权威研究，结合2024-2025年最新漏洞案例，系统剖析了文件上传场景下的XSS攻击技术演进路径。研究揭示：云原生架构的普及使攻击面从传统Web服务器扩展至对象存储服务，防御策略需要构建包含七层检测机制的立体防护体系。通过分析Ghost CMS（CVE-2024-23724）、Squ

某些淘系APP使用私有协议（如SPDY）进行网络通信，导致传统抓包工具（如Charles、Fiddler）无法直接抓取数据包。本文将介绍如何绕过该私有协议，并分析其请求参数的生成过程。

在互联网大厂工作中接触学习了MCP与安全的应用以及MCP本身的安全，本文为MCP应用与安全开篇，先带读者从0开始学习研究MCP底层逻辑原理，并实操开发两个MCP Server服务，从基础架构入手，探讨MCP的核心机制及安全挑战。

结合调式分析malloc源码，即其漏洞利用

无WriteProcessMemory CreateRemoteThread实现shellcode注入 GhostWriting x64实现

毫无保留地呈现给各位师傅PE2Shellcode的实现，并将其开源到github上

双向证书认证（也称为双向TLS或客户端证书认证）是一种安全机制，其中客户端（安卓应用）和服务器通过交换和验证彼此的证书来建立安全连接。与传统的单向TLS不同，双向TLS要求客户端也提供证书以便服务器验证其身份。

任意文件覆盖导致任意代码执行 一处漏洞点的两个利用方式

针对某博客系统登录认证缺陷的代码审计

本文对土豆家族中几个关键的提权漏洞进行了学习与分析，学习之后思路更加清晰，许多原本模糊的概念也变得明朗起来。

Xunruicms存在一个前台RCE漏洞，这个漏洞在之前很多版本也存在，最新版已修复

大量国内正常数字签名被用于传播XtremeRAT远控木马

CVE-2025-49113认证后php反序列化rce复现新视角……一个有趣的php反序列化对象注入导致的命令执行

shellcode使用了xor与ipv6的形式，动态api调用免杀框架

JAVA代码审计之鉴权逻辑错误审计小记

这篇文章主要介绍了自定义 String 哈希算法的定义、特点以及应用场景，特别详细地讲解了两种常见的算法：ROTR32 和 CRC32。

在 Web 开发中，注入用户提供的 HTML 代码需求普遍存在，但这一过程伴随显著的安全风险，尤其需防范跨站脚本攻击（XSS）。尽管业界已有成熟的 XSS 过滤器（如 DOMPurify），但其配置不当或机制缺陷仍可能被利用。本文聚焦于命名空间混淆、MXSS（突变 XSS）、DOM Clobbering等前沿攻击技术，通过解析基础概念与实战案例，揭示两次 DOMPurify 绕过的核心原理，旨在帮

第一届OpenHarmony CTF专题赛RE题解

2025H&NCTF-Misc&取证&OSINT全解

一个看似无害的JSON响应，竟让轻松劫持会话弹窗等等！