hzhsec

📄🦌🙌🐟🏖️

hzhsec

Just another Halo site

概述 7-Zip 是一款广泛使用的开源文件压缩/解压缩工具。由于其高普及率，其安全漏洞一旦被利用，影响范围极广。本笔记记录了近期两个高危漏洞（CVE-2025-11001 与 CVE-2025-0411）的复现过程、原理分析与安全建议。环境搭建目标版本：7-Zip 24.09 下载地址：http

2026-01-09 漏洞复现 19 Administrator

云服务器 Git 推送问题与解决

概要本文总结了在国内云服务器上遇到 Git 推送或拉取受限时的三种可行方案：在云服务器上借助 Clash 启动代理（可行但可能出现网络不稳定）把云上生成的文件拉回本地，在本地完成 Git 提交与推送（推荐）直接在云服务器上使用 SSH key 或 Deploy Key 将仓库通过 SSH 推

2026-01-09 杂项 17 Administrator

浅谈电子邮件伪造

SMTP 简介电子邮件协议主要包括 SMTP、POP3 和 IMAP。 SMTP（Simple Mail Transfer Protocol）是用于在客户端与服务器、以及服务器之间发送和转发电子邮件的应用层协议，本文聚焦 SMTP 协议及其被伪造时的原理与防护。 SMTP 大致通信过程建立连接

2026-01-09 杂项 23 Administrator

CVE-2025-55182

Next.js 15.0.0 ~ 15.0.4 中 React Server Components（RSC）存在严重原型链污染漏洞，可导致未认证远程代码执行（RCE）。本文提供完整复现流程、Payload 合集、批量验证脚本以及企业级防护建议。漏洞概述漏洞摘要： Next.js 15 系列（15

2026-01-09 26 Administrator

cloud1

任意上传 & 域名接管 & AccessKey 泄漏概述（对象存储风险点）云服务 — 对象存储 — 权限配置不当云服务 — 对象存储 — 域名解析接管云服务 — 对象存储 — AccessKey 泄漏

2026-01-09 17 Administrator

XXE 漏洞全解析：从成因分析、手工探测到防御实战

概述 XML（eXtensible Markup Language）用于传输与存储结构化数据，关注数据本身的语义，与用于显示的 HTML 不同。XXE（XML External Entity Injection）是指在应用解析不安全的 XML 输入时，允许外部实体（external entity）被

2026-01-09 XXE 23 Administrator

跨域安全与 UI 补偿攻击：JSONP 数据劫持与点击劫持深度解析

JSONP（JSON with Padding）是一种用于解决跨域数据请求的变通方案，核心原理是利用 <script> 标签的跨域特性绕过同源策略。通过将返回内容包裹在回调函数中，使得数据以 JavaScript 的形式被执行。 JSONP 点击劫持漏洞 JSONP（JSON with Paddin

2026-01-09 top10 17 Administrator

XSS 绕过实战：编码变形、标签混淆与 CSP/WAF 绕过全攻略

XSS 绕过过滤的思路在 XSS（跨站脚本攻击）测试和绕过过滤时，通常会遇到各种安全机制，如 WAF（Web应用防火墙）、输入验证、编码过滤等。以下是一些常见的绕过思路，帮助你在渗透测试时提高 XSS 攻击成功率。 1. 编码绕过（1）URL 编码部分 WAF 可能不会解码 URL 编码的输

2026-01-09 Web安全 35 Administrator

Web 安全防御指南：CSP、HttpOnly 与 XSS Filter 深度解析

XSS 跨站 — 安全防御：CSP / HttpOnly / XSSFilter 下面整理了三类常见的 XSS 防御技术：CSP（Content Security Policy）、HttpOnly Cookie 与基于过滤/编码的 XSS 过滤器，包含原理、实践配置、实验提示与常见绕过/注意点。一

2026-01-09 XSS 20 Administrator

XSS 跨站脚本深度利用：凭据盗取、业务数据提交、钓鱼攻击与溯源工具指南

XSS 跨站 — 攻击利用：凭据盗取 / 数据提交 / 网络钓鱼 / 溯源综合漏洞原理：接受输入数据，输出显示数据后解析执行。基础类型：反射(非持续)、存储(持续)、DOM-BASE。拓展类型：jquery、mxss、uxss、pdfxss、flashxss、上传xss 等。常用资料：htt

2026-01-09 Web安全 7 Administrator