四款文件上传绕过工具

字数 395，阅读大约需 2 分钟Upload_Auto_Fuzz项目地址：https://github.com/T3nk0/Upload_Auto_Fuzz6185a39dc5e322864463

一次基于Struts框架项目的代码审计

字数 1368，阅读大约需 7 分钟前言上周去客户那里做了一个渗透测试+代码审计，黑盒+白盒的项目。客户给的环境是纯内网，源码不允许出网，久违的体验了一把古法代码审计。一直引以为豪的奥特手环——AI

工具推荐|自动化收集js，自动化加载js，自动化分析js

字数 194，阅读大约需 1 分钟项目介绍Webpack_extract-自动化收集js，自动化加载js，自动化分析js项目地址：https://github.com/xz-zone/Webpack

一次隐藏页面泄露导致的未授权

字数 471，阅读大约需 3 分钟测试流程近期做的一个渗透测试项目，客户只提供的资产里仅包含域名，让我们自己信息收集做测试。其中有一个 Tomcat 搭建的网站，直接访问 http://demo.c

MCP Server 测试

点击蓝字 关注我们一什么是MCPMCP（Model Context Protocol，模型上下文协议）是一套开放的标准协议，用来让大模型应用（Host，如 Claude Desktop、IDE 插件等

通过java-audit-skills分析Java靶场

字数 618，阅读大约需 4 分钟前言前言安装使用 Skill 分析项目有师傅私信问我，大模型应用在安全领域上的 Skill 怎么学。我个人觉得还是先用起来。总有人跑得比我们快，以前用别人的脚本当脚

如何从0写一个FOFA语法生成的skill

字数 1010，阅读大约需 6 分钟前言前言什么时候需要用到大模型如何写好一个 skill使用过程中遇到的问题使用 skillSkill什么时候需要用到大模型最近的趋势好像是什么都交给大模型来解决，

利用skill解决CTF的逆向题

字数 433，阅读大约需 3 分钟前言项目地址：https://github.com/ljagiello/ctf-skills用于解决 CTF 竞赛挑战的智能体技能——Web 漏洞利用、二进制漏洞利

吾爱破解论坛精华集2025

导语今年的《吾爱破解精华集》论坛收到了来自135位同学发布的共计217篇 优秀、精华帖（精华帖111篇）。同学们的每一篇优秀文章都是宝贵的财富，请允许我以吾爱破解论坛站务组的名誉对向你们表示真诚的感谢

专注于java代码审计skills

字数 624，阅读大约需 4 分钟前言项目地址：https://github.com/RuoJi6/java-audit-skills559236ee61fef0910122633d794b3e94

为什么你挖不到漏洞？从“无效努力”到“高效出洞”的思维跃迁

同一个SRC，有人月入过万，有人连续三月空手而归——差的不只是技术，是思路。最近收到不少师傅私信：“常规漏洞原理我都懂，工具也会用，为什么就是挖不到洞？”这个问题，我曾经也问过自己无数次。直到后来复盘

BurpSuite快速过滤与丢弃数据包

字数 276，阅读大约需 2 分钟前言测项目的时候，抓包可能会遇到重复无用的大量数据包，一秒几个的在history中闪过。不仅看的难受，也不方便测试人员测试。下面说几个常见的解决办法。前言感悟环境搭

vibe编程，用 AI 写了个小程序

字数 731，阅读大约需 4 分钟前言虽然是为了安全测试才注册的小程序，但流程要走就走完。于是乎，就在昨天，我的小程序赛博吗喽知识库通过认证，成功发布了。首页 /index是不是很有 AI 的风格，

小程序 wx.cloud 操作文档型数据库的漏洞挖掘点

字数 474，阅读大约需 3 分钟前言对上一篇文章的补充 原创 | 小程序中云函数越权的探索。今天来说 cloudbase 中的文档型数据库的权限问题。前言文档型数据库权限说明文档型数据库操作演示小

关于 openclaw

字数 229，阅读大约需 2 分钟前言老实说，虽然openclaw刚开始出，还在叫Clawdbot的时候就很火。但没想到能火到这种程度，我的领导在聊，同事在聊，平时水的QQ群和微信群都在说。2月1日

原创 | 小程序中云函数越权的探索

字数 1762，阅读大约需 9 分钟前言公司最近想把一部分业务迁移到云函数上。于是领导找到我，问我云函数可能存在哪些安全风险。我两眼一抹黑，支支吾吾说我找找。之前虽然了解过云函数，但那时候是搞云函数

赛博龙虾养殖指南

在 2026 年初，一只名为 OpenClaw 的“赛博龙虾”🦞在 GitHub 上创造了历史——不到两周突破 20 万星标，成为开源史上增长最快的项目之一。这不是一个简单的聊天机器人，而是一个可以在

灵境 0.4.6 新增内置虚拟机模块

还没关注？↑↑↑伸出手指点上方“名片”这里。建议大家把本公众号置顶（设为星标★），以便第一时间看到推送。新增内置虚拟机模块LingJing（灵境）平台项目概述🧩 已实现功能点⚠️ 当前缺陷🚀 待实现功

网安面试简历优化

很多网络安全从业者陷入了“能力实心球”困境：肚子里有货，但倒不出来。简历上写“负责日常监控”，面试时讲“我用过WAF”，这就像一位大厨只说“我会切菜”，完全埋没了你对一整套宴席的理解。真正的区别不在于

云服务-存储桶安全

云服务简介云服务，顾名思义就是云上服务，在云厂商购买得产品服务。国内云厂商有：阿里云、腾讯云、华为云、Ucloud、金山云、火山云等，国外的就是亚马逊 AWS、Google 得 GCP、微软得 Azu

渗透测试Payload速查平台

字数 740，阅读大约需 4 分钟前言一个可在本地搭建使用的 Payload 速查平台。对办公环境经常不能内外网同时连接的师傅很友好。平台搭建也很简单。渗透测试 Payload 速查平台项目地址：h

从jar包获取Druid账号密码到拿下系统

字数 482，阅读大约需 3 分钟前言最近打的一个攻防演练项目，在收集资产时，遇到一个 web 系统。在对 URL 路径进行扫描时，发现了 Druid 的登录页面。Druid 无法未授权访问，用我的

云服务-Kubernets（K8S）安全

目录内容Kubernets概述Kubernetes (K8s) 是一个开源的容器编排平台，用于自动化部署、扩展和管理容器化应用程序。它将一组物理或虚拟机器（节点）抽象成一个统一的集群资源，并代表你自动

Burp插件 | 优化你的Match and Replace

字数 631，阅读大约需 4 分钟前言项目地址：https://github.com/gh0stkey/MaRfa104c1bcf3e31eab001950229f1fe70.pngMaR（Matc

Tomcat URL 解析特性导致的鉴权绕过

字数 996，阅读大约需 5 分钟前言昨天，写了鉴权绕过工具 NoAuth 的使用。java-web 自动化鉴权绕过工具为什么通过对接口进行相对于的编码，就能够绕过权限呢？除了框架自身的漏洞缺陷外，

java-web 自动化鉴权绕过工具

字数 181，阅读大约需 1 分钟前言测试接口因鉴权问题的好工具项目地址：https://github.com/wa1ki0g/NoAuth出现鉴权漏洞，一般是因为某些中间件或者框架的特性，比如 t

写Frida脚本嘎嘎快的插件

字数 279，阅读大约需 2 分钟前言过年回来开宫，Frida 启动命令都忘光了。更不要说 Frida 脚本怎么写了。打开 Pycharm，手放键盘上不知道敲什么，还要去文档里找，或者直接大模型启动

OWASP Top 10 从2021到2025有了哪些变化

字数 1270，阅读大约需 7 分钟来源：https://owasp.org/Top10/2025/OWASP Top 10 20251. 失效的访问控制2. 安全配置错误3. 软件供应链故障4.

可深度抓取网站JS文件的工具 Packer-InfoFinder

字数 597，阅读大约需 3 分钟前言朋友给我推荐了这个工具，说很好用。https://github.com/TFour123/Packer-InfoFinder93189d369dbaed8575

上班第一天，我已出仓，感觉良好