2025-06-23 微信公众号精选安全技术文章总览

洞见网安 2025-06-23

0x1 粉粉地告诉你：致远OA安全配置免登录认证请求怎么玩？快来看看吧

OA大助手 2025-06-23 23:09:51

本文探讨了致远OA系统中实现免登录认证的方法和不同版本下的配置方案。文章首先强调了在系统开发中，虽然默认情况下所有后台请求都应要求用户登录后才能访问以确保安全性，但在某些特殊场景下，如登录认证请求、第三方系统握手接口和公开数据查询，需要允许免登录访问。文章提出了最小权限原则和责任明确原则，并针对不同版本的致远OA系统，分别介绍了免登录认证的实现方式。对于V7.1SP1及更早版本，通过在Controller方法上使用注解@NeedlessCheckLogin来实现；V8.0~V8.2版本则通过XML配置文件管理免登录接口；而V8.2SP1及以上版本则采用了独立配置文件的方案。文章最后提醒了在使用免登录认证时需要注意的安全事项，包括最小开放原则、输入校验、日志监控和定期复审。

网络安全配置 免登录认证 系统安全原则 代码注入防护 日志监控 安全风险评估 软件版本差异

0x2 从隐藏参数到账户接管

红云谈安全 2025-06-23 22:13:11

本文探讨了网络安全中一个名为“更改电话号码”功能的Web应用程序漏洞，该漏洞可能导致账户接管。文章指出，该应用程序存在跨站请求伪造（CSRF）漏洞，攻击者可以尝试更改受害者的电话号码。作者通过分析漏洞，发现服务器端验证机制存在问题，并利用了这一缺陷。文章详细描述了漏洞的发现过程，包括如何识别隐藏的CSRF令牌，如何创建概念验证（PoC）来利用漏洞，以及如何绕过服务器的令牌验证机制。最后，文章提出了防止CSRF攻击的安全措施，强调了服务器端验证和避免依赖隐藏参数的重要性。

Web Security Application Security CSRF Vulnerability Vulnerability Analysis Penetration Testing Token Validation Server-Side Security Security Best Practices

0x3 基础知识：Web应用搭建

老付话安全 2025-06-23 20:27:48

本文详细介绍了Web应用搭建的基础知识。首先概述了Web应用的四大必备组件：系统、中间件、数据库和程序源码。接着，文章描述了搭建Web应用的基本流程，包括购买云服务器和域名，搭建中间件，上传Web程序源码，以及添加网站并绑定域名。文章还介绍了三种常规的网站搭建模式：端口模式、子域名模式和目录模式。接着，详细解释了路径和资源访问的概念，包括绝对访问路径、相对访问路径和参考路径。此外，还讨论了站库分离和前后端分离的原理及其影响。文章还涉及了WAF、CDN和OSS等Web相关产品的原理和应用。最后，简要介绍了不同类型的Web应用开发架构，包括原生开发、H5开发、Flutter开发和小程序开发，并讨论了它们的安全影响。

Web安全 服务器安全 域名安全 编程语言安全 数据库安全 路径安全 网络安全设备 云安全 代理服务器 负载均衡 移动应用安全 数据通信安全

0x4 Hijack Windows MareBackup 计划任务实现本地提权分析

黑晶 2025-06-23 20:04:17

本文分析了Windows系统中MareBackup计划任务的本地提权漏洞。MareBackup任务以SYSTEM权限运行，并在执行过程中调用CompatTelRunner.exe，该程序内部使用相对路径调用powershell.exe。如果攻击者能够将恶意powershell.exe放置在PATH环境变量中的特定位置，即使该路径在真实powershell.exe之前，恶意代码也能以SYSTEM权限执行。文章详细介绍了利用该漏洞的步骤，包括修改PATH环境变量、放置恶意文件和启动计划任务。这种提权方式利用了系统默认行为，具有一定的隐蔽性和通用性，提醒用户注意系统安全配置。

Windows提权 计划任务劫持 权限维持 环境变量攻击 恶意软件分析 红队技术 技术交流

0x5 瞄准中国和东南亚用户的最新移动间谍软件SparkKitty曝光

网空闲话plus 2025-06-23 18:45:12

2025年6月，卡巴斯基研究团队揭露了一种名为SparkKitty的新型移动间谍软件，该软件通过Apple App Store和Google Play官方渠道传播，具备感染iOS和Android设备的能力。SparkKitty的主要目标是窃取设备图库中的照片，特别是包含加密货币钱包助记词等敏感信息的图像。该恶意软件在iOS平台上伪装成合法网络库，利用Objective-C类加载机制持久驻留；在Android系统上，则以Java/Kotlin或Xposed模块方式挂钩系统入口点。SparkKitty通过多阶段验证机制激活有效载荷，并使用AES-256加密与远程C2服务器通信。自2024年初以来，该活动主要针对中国和东南亚用户，通过赌博应用、TikTok变种与成人软件等高诱导性伪装方式进行扩散。SparkKitty的出现反映了跨平台传播、金融信息窃取和广泛图像索取的三大趋势，对移动终端用户的隐私和资产安全构成重大威胁。

移动安全 间谍软件 恶意软件分析 跨平台攻击 数据窃取 应用商店安全 地理定向攻击 加密货币安全 隐私保护

0x6 窃密器数据如何“点燃”CVE-2025-49113：RoundCube的漏洞利用

M01N Team 2025-06-23 18:00:34

本文分析了CVE-2025-49113这一长达十年未被发现的严重安全漏洞，该漏洞存在于开源电子邮件客户端RoundCube中。文章概述了攻击场景，指出RoundCube漏洞与三年前的Proxynotshell漏洞相似，都可能被勒索组织和APT组织利用。文章详细描述了攻击流程，包括窃密器如何窃取邮箱凭据，以及攻击者如何利用这些凭证进行撞库攻击或APT渗透。天元实验室威胁情报小组发现多个攻击组织在暗网购买邮箱凭证，并推测这些活动与Roundcube漏洞相关。文章还讨论了窃密器的发展历史和防护措施，强调企业应定期扫描员工口令、更新浏览器版本和清理Cookie，并利用专业的暗网威胁情报服务来监控和防御潜在威胁。

电子邮件安全 开源软件漏洞 勒索软件攻击 漏洞利用技术 APT攻击 暗网市场 信息窃取恶意软件 网络安全监控 威胁情报 网络安全研究

0x7 PHP基础-字符串相关函数

风铃情报站 2025-06-23 17:39:11

本文详细介绍了PHP中常用的字符串处理函数，包括获取字符串长度、查找字符串中内容的位置、字符串与数组互转、字符大小写转换、替换、截取、清理等操作。文章中通过实例说明了每个函数的功能和使用方法，如strlen()、mb_strlen()、strpos()、explode()、implode()、strtoupper()、strtolower()等。此外，文章还提到了在使用mbstring扩展进行中文处理时的注意事项，并强调了字符串操作在PHP开发中的重要性。最后，文章提供了一个链接，指向了PHP项目实战教程的资源分享。

PHP安全 编码安全 输入验证 缓冲区溢出 字符集处理 编码转换

0x8 CVE-2020-9484 Tomcat Session 反序列化复现

TEST安全 2025-06-23 17:07:54

本文详细分析了CVE-2020-9484漏洞，这是一个Apache Tomcat中的远程代码执行漏洞。漏洞源于持久化Session功能，需要Tomcat启用session持久化，并且在特定的目录下存在可利用的gadget。文章提供了漏洞影响的版本范围，包括Tomcat 10.0.0-M1到10.0.0-M4，9.0.0.M1到9.0.34，8.5.0到8.5.54，以及7.0.0到7.0.103等版本。文章还详细介绍了漏洞的复现步骤，包括搭建测试环境、配置Tomcat以启用session持久化、下载并配置必要的jar包、设置环境变量、启动Tomcat，以及使用ysoserial工具生成恶意序列化数据。最后，文章通过Burp Suite重放数据包来触发漏洞，并解释了漏洞触发后如何创建系统文件，以及漏洞的修复方案，包括限制对context.xml文件的写权限和不使用FileStore。

漏洞分析 Tomcat漏洞 远程代码执行 Session会话管理 漏洞复现 Java反序列化 漏洞修复 网络安全

0x9 【免杀工具】内存加载器-MemLoader

安全天书 2025-06-23 16:28:27

本文介绍了一个名为MemLoader的概念验证框架，该框架允许用户从内存中运行本机PE可执行文件或.NET程序集。MemLoader包含两个独立的加载程序：PE装载机和.NET加载器。文章还提到了一个网络安全学习圈子，该圈子专注于红蓝对抗、钓鱼手法、武器化操作、红队工具的二开与免杀技术。圈子内不定期分享技术文章、攻防经验总结、学习笔记以及自研工具与插件。文章列举了一些圈子更新的技术文章和工具，如HeavenlyBypassAV、HeavenlyX86、lnk钓鱼Bypass等，并鼓励读者加入圈子共同学习。需要注意的是，文章强调不要利用这些技术进行非法测试，并提醒使用者本人对使用这些信息造成的后果负责。

内存加载器 免杀工具 红蓝对抗 漏洞利用 技术分享 网络安全工具 威胁情报 安全研究

0xa 【$10,000】Arc 浏览器：UXSS+本地文件窃取+任意文件写入，路径穿越直通RCE！u200bu200b

骨哥说事 2025-06-23 15:12:16

声明：文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由用户承担全部法

0xb 渗透测试｜某单位从敏感三要素泄露到接管管理员的漏洞挖掘之旅

神农Sec 2025-06-23 09:00:30

扫码加圈子获内部资料网络安全领域各种资源，EDUSRC证书站挖掘、红蓝攻防、渗透测试等优质文章，以及工具分享

0xc .NET 介绍一种新型 RCE 利用点分析与漏洞挖掘思路

dotNet安全矩阵 2025-06-23 08:31:04

0xd 蜜罐检测

白帽学子 2025-06-23 08:11:33

0xe 900页 Windows安全机制解析：身份验证、授权和审核

计算机与网络安全 2025-06-23 07:58:03

0xf AWVS最新版本.

剁椒鱼头没剁椒 2025-06-23 07:19:08

AWVS最新版本

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。

原文始发于微信公众号（洞见网安）：网安原创文章推荐【2025/6/23】