【WEB安全-记一次某存储厂商官网的反射型XSS挖掘过程（附修复建议）】此文章归类为：WEB安全。 前言最近在做安全研究时，发现某存储科技公司官网存在一处反射型XSS漏洞。整个过程完整走通了信息收集、手工验证、源码分析和负责任披露流程。将过程脱敏后记录下来，供初学Web安全的同学参考。一、信息收集目标是一个存储科技公司的官方网站，前端为静

原创周杰伦8天前阅读: 24阅读时长: 4分钟

【WEB安全-Tbooking验证码逆向分析】此文章归类为：WEB安全。 声明 本文章中所有内容仅供学习交流使用，不用于其他任何目的，严禁用于商业用途和非法用途，否则由此产生的一切后果均与作者无关！若有侵权，请联系作者删除。 前言 网址敏感暂不提供，样本-> 解混淆 对混淆代码用ast进行解混淆，代码每次进入行数解混淆函数

原创周杰伦9天前阅读: 31阅读时长: 9分钟

【WEB安全-【银行逆向百例】15小程序逆向之支付宝提取data文件为tar格式】此文章归类为：WEB安全。 “ 万分抱歉我不懂周全，反正我从来没上过版面。——《歌手》” 01环境版本 环境：电脑，Windows 11 专业版 23H2JiaoSuInfoSec/JiaoSuInfoSec_T00ls_Win11: 角宿武器库官方发布

原创周杰伦22天前阅读: 33阅读时长: 9分钟

【WEB安全-【银行逆向百例】14小程序逆向之报错快速定位加解密 版本过低升级4.0微信开启控制台】此文章归类为：WEB安全。 “ 可是我偏偏就是不想要转弯，就算不开灯的房间真的有些暗。——《呓语》 ” 01环境版本 环境：电脑，Windows 11 专业版 23H2JiaoSuInfoSec/JiaoSuInfoSec_T00ls_

原创周杰伦22天前阅读: 30阅读时长: 5分钟

【WEB安全-当“头像”变成后门：Ghost CMS 存储型 XSS（CVE-2024-23724）】此文章归类为：WEB安全。 时间：2023 年 12 月 —2024 年 2 月（MITRE 记录 CVE-2024-23724 公开日 2024-02-11）主角/发现方：Rhino Security Labs（RhinoSec）研究团

原创周杰伦25天前阅读: 40阅读时长: 7分钟

【WEB安全-什么是反向代理？它能解决什么问题？】此文章归类为：WEB安全。 作为一名独立开发者，你是否有过这样的经历：本地同时跑着前端（端口3000）、后端（端口8080）、管理后台（端口5000），测试时需要在浏览器里输入一长串带端口的URL —— http://localhost:8080/api/login、http://lo

原创周杰伦1个月前阅读: 39阅读时长: 9分钟

【WEB安全-快递 100 小程序接口安全分析笔记】此文章归类为：WEB安全。 ⚠️ 免责声明：本项目仅用于网络安全技术学习与研究，请勿用于任何非法用途。完整测试报告及详细截图已开源至 GitHub：14free/kuaidi100-security-analysis: 快递100安全分析报告一、测试环境工具：Burp Suite + 微

原创周杰伦1个月前阅读: 68阅读时长: 9分钟

【WEB安全-Solar勒索软件威胁态势与防护实践年度报告(2025) -章节二】此文章归类为：WEB安全。 本篇为 Solar 应急响应团队发布的《2025年勒索病毒态势年度分析报告》系列内容之一。鉴于报告内容较多、篇幅较长，我们将采用分章节连载的形式，陆续发布全部分析内容。 第三章 勒索攻击者行为与攻击手段分析 一、勒索家族的组

原创周杰伦1个月前阅读: 61阅读时长: 9分钟

【WEB安全-Solar勒索软件威胁态势与防护实践年度报告(2025) 章节二】此文章归类为：WEB安全。 第三章  勒索攻击者行为与攻击手段分析一、勒索家族的组织发展与近期事件分析 1.Qilin 与 DragonForce 1.1 引言：从同质化竞争到双极分化回顾2024至2025年的网络安全态势，全球勒索软件即服务（Raa

原创周杰伦1个月前阅读: 49阅读时长: 9分钟

【WEB安全-时隔多年，公共 Wi-Fi 还安全吗？】此文章归类为：WEB安全。 笔者这期推文，想和大家聊一聊一个比较老的技术，也曾风靡一时，让公共WIFI与危险画上了等号。—— 那就是ARP欺骗的中间人攻击技术。ARP 欺骗技术已经有几十年的历史了，不少人可能觉得它已经过时了。但笔者最近在重温这项技术的过程中发现情况并没有想象中那么的简

原创周杰伦1个月前阅读: 99阅读时长: 9分钟