记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

一次方维o2o商城PHP审计学习

PHP审计源码学习**一、渗透测试**        起因是朋友问fanwei o2o源码搭建的站后台能不能拿shell,于是我进后台进行了一番尝试,各功能点没什么进展,好多地方过滤了,上传也是白名单,编辑器的1day修了,万幸的是有个拿不到shell但是可以执行sql语句的功能点,再通过fofa提取特征,在其他站点下拿到一份残缺的源码(Git_Extract工具拖出来的源码文件名是中文会乱码,换用GitHack解决)。
发布时间:2022-09-30 14:58 | 阅读:16395 | 评论:0 | 标签:审计 学习 PHP

从事十年安全的学习包公开!

下面我为粉丝整理了一套0基础入门红队测试教程,由于内容过于敏感,请速度领取,篇幅太长截取一部分出来,在文末附上领取方式,还有一套小编自
发布时间:2022-09-26 14:47 | 阅读:35290 | 评论:0 | 标签:学习 安全

HACK学习备用号,期待大家的关注!

#备用 2 个 #网络安全 33 个 #信息安全 2 个 2017年11月21日至2022年4月12日,“HACK学习呀”已运营有4年半的时间了,1603天,发展至今,实属不易,感谢大家的一路支持。为避免今后在写文过程中因触发铭感关键字,或再被别有用心的人恶意投诉而出现违规被封的风险,考虑再三,决定还是先弄这么一个备用号吧,以防失联……HACK学习君重在分享最新安全干货工具,Github安全专题推荐,HackerOne漏洞案例,最新twitter安全资讯,区块链安全知识和入门学习,以及安全文档分享专题。
发布时间:2022-09-26 14:47 | 阅读:32562 | 评论:0 | 标签:学习 hack

CVE-2022-21882提权漏洞学习笔记

#“雪花”创作激励计划 183个 本文为看雪论坛优秀文章看雪论坛作者ID:1900一前言1.漏洞描述该漏洞的成因及利用基本上和CVE-2021-1732一样,可以认为该漏洞是在对CVE-2021-1732漏洞进行补丁之后,绕过该补丁达成漏洞利用。在对CVE-2021-1732补丁后,在xxxCreateWindowEx函数调用过程中,会在调用xxxClientAllocWindowClassExtraBytes申请扩展内存后,会对窗口对象的偏移0x128处的pExtraBytes进行验证,以此来验证是否在执行用户层函数时被修改。
发布时间:2022-09-25 20:36 | 阅读:226874 | 评论:0 | 标签:提权 漏洞 学习 CVE

【技术干货】记一次固件解密学习--X软路由

#IOTsec-Zone 23 个 #物联网安全 29 个 #IOT安全 28 个 作者:ch0ing定位加密官网直接提供这么多格式的系统下载直接下载的bin文件binwalk梭哈不开。下一个ISO回来装成虚拟机,咱还收拾不了你了吗。用7-zip打开.vmdk文件。rootfs脱出来解不开。啊这,不按套路出牌啊。初步怀疑是grub 或者vmlinuz被厂商进行了修改,加入了解密操作。
发布时间:2022-09-23 20:35 | 阅读:62643 | 评论:0 | 标签:学习 解密

Jadeite:基于行为和深度学习的Java恶意软件检测新方法

原文标题:Jadeite: A novel image-behavior-based approach for Java malware detection using deep learning原文作者:Obaidat I, Sridhar M, Pham K M, et al.原文链接:https://www.sciencedirec
发布时间:2022-09-19 11:33 | 阅读:42332 | 评论:0 | 标签:java 学习 恶意软件

PHP Phar反序列化浅学习

前言Phar反序列化是PHP反序列化的一个重要部分,进行相关学习后,简单总结如下,希望对正在学习的师傅有所帮助。了解PharPhar含义可以认为Phar是PHP的压缩文档,是PHP中类似于JAR的一种打包文件。它可以把多个文件存放至同一个文件中,无需解压,PHP就可以进行访问并执行内部语句。
发布时间:2022-09-14 11:45 | 阅读:48165 | 评论:0 | 标签:学习 PHP 序列化

安全领域中使用机器学习的注意事项

一、简介随着计算机计算能力的提高和大量数据集的公开,机器学习算法在许多不同领域取得了重大突破。这一发展影响了计算机安全,催生了一系列基于学习的安全系统,例如恶意软件检测、漏洞发现和二进制代码分析等。尽管机器学习算法潜力巨大,但其在安全领域中的使用却很微妙,容易出现缺陷,这些缺陷会破坏算法的性能,并使基于学习的系统可能不适合具体的安全任务和工具的实际部署。这也导致了大量安全人士看衰机器学习在安全领域的发展前景。实际上,机器学习只是一个工具,工具的使用方式一定程度上决定了工具的效果。
发布时间:2022-09-06 19:56 | 阅读:70299 | 评论:0 | 标签:学习 安全

FastJson远程命令执行漏洞学习笔记 - xiaomaipu

FastJson远程命令执行漏洞学习笔记Fastjson简介fastjson用于将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。fastjson.jar是阿里开发的一款专门用于Java开发的包,可以方便的实现json对象与JavaBean对象的转换,实现JavaBean对象与json字符串的转换,实现json对象与json字符串的转换。
发布时间:2022-09-03 23:49 | 阅读:124130 | 评论:0 | 标签:漏洞 学习 AI 远程 执行

浅谈机器学习公平性

精彩推荐文丨中国工商银行软件开发中心 王娜 冯歆然当前,机器学习在多个领域中发挥着越来越重要的作用,在金融、司法、医疗等公共领域,应用机器学习的结论进行辅助乃至自动化决策已非个例。科技的迅猛发展在给人类带来极大便利的同时,也带来了新的风险,甚至会引发前所未有的伦理挑战,如美国的犯罪预测系统COMPAS存在歧视黑人的现象(预测结果对黑人的误报率高于白人)、亚马逊AI简历筛选系统存在歧视女性的现象、meta广告推荐算法涉嫌违反美国《公平住宅法案》(Fair Housing Act,FHA)。在我国,算法伦理问题已经引起国家层面的关注。
发布时间:2022-09-02 19:48 | 阅读:79704 | 评论:0 | 标签:学习

《架构师成长计划》联邦学习的研究与应用实践

国际学术期刊Science/AAAS和英特尔在全球首次联袂推出第一季《架构师成长计划》以来,吸引了无数架构师踊跃参与,获得业内广泛赞誉。为持续助力架构师把握数智机遇,构建未来,第二季《架构师成长计划》全新升级,强势归来!业内顶尖架构师大咖齐聚,为架构师群体量身打造系统成长课程,带来涵盖云游戏、云原生、联邦学习、生信大数据、算力网络、云网融合等多个热门话题的前沿技术及案例实践。当前云计算、移动互联、人工智能、大数据、物联网等技术在重塑生活生产并带来诸多便利的同时,也加剧了人们对隐私泄露、数据安全的担忧。
发布时间:2022-08-31 12:06 | 阅读:64739 | 评论:0 | 标签:学习

OAuth2-0协议安全学习

有一个问题困扰了很久很久,翻来覆去无法入眠,那就是OAuth2.0有什么安全问题啊 OAuth2.0是一种常用的授权框架,它使网站和 Web 应用程序能够请求对另
发布时间:2022-08-22 16:29 | 阅读:77575 | 评论:0 | 标签:OAuth OAuth2.0 令牌 客户端模式 密码 密码模式 授权码模式 简化模式 绕过 学习 安全

2022年实验室暑期年会前瞻报告(一)陆枫:面向临床医学的智能学习研究(PPT)

暑期年会2022年8月1日-2日,因疫情原因实验室暑期年会分别在主校区1号楼和网安基地召开,实验室400余名师生参加了本次年会。自2001年成立至今,实验室每年暑期召开一次年会,今年是第二十二届。年会上,四位教师代表从不同角度做了四场精彩的学术前瞻报告,分别是:戴小海博士作了题为“NFT,Web3和元宇宙”的报告,王雄副教授作了题为“新一代云网融合:算力网络”的报告,陆枫副教授作了题为“面向临床医学的智能学习研究路径”的报告,王虹飞副研究员作了题为“AI+EDA之芯片测试与诊断”的报告。我们将陆续分享他们的报告PPT。
发布时间:2022-08-11 11:01 | 阅读:65931 | 评论:0 | 标签:学习 智能

用 Go 跑的更快:使用 Golang 为机器学习服务

因此,我们的要求是用尽可能少的资源完成每秒300万次的预测。值得庆幸的是,这是一种比较简单的推荐系统模型,即多臂老虎机(MAB)。多臂老虎机通常涉及从 Beta 分布 等分布中取样。这也是花费时间最多的地方。如果我们能同时做尽可能多的采样,我们就能很好地利用资源。最大限度地提高资源利用率是减少模型所需总体资源的关键。我们目前的预测服务是用 Python 编写的微服务,它们遵循以下一般结构:请求->功能获取->预测->后期处理->返回一个请求可能需要我们对成千上万的用户、内容对进行评分。
发布时间:2022-08-04 13:59 | 阅读:68893 | 评论:0 | 标签:学习

机器学习:安全还是威胁?

机器学习算法已经成为网络安全技术的一个关键部分,目前用于识别恶意软件,减少警报数量,帮助漏洞修补的优先级。然而,研究机器学习或人工智能安全的专家却警告,这些AI算法可能会被攻击者颠覆。在去年发表的一篇研究论文(邪恶模型:在神经网络模型中隐藏恶意软件)中,研究人员发现,神经网络的冗余特性可以让攻击者将数据隐藏在一个普通的神经网络文件中,占用文件大小的20%,而不会显著影响模型的性能。在2019年发表的另一篇论文研究表明,受到入侵的训练服务可以在神经网络中创建一个后门,并持续存在,即使该神经网络被用于另一项任务的训练。
发布时间:2022-08-04 02:17 | 阅读:78095 | 评论:0 | 标签:学习 安全

数字中国 | 滕达:从“深度学习”到“深度伪造”,谈人工智能数据安全

因“数”而变,因“数”而兴。随着我国数字经济的蓬勃发展,以5G、大数据、人工智能为代表的数字产业逐渐成为我国产业结构中的重要组成部分,随之而来的数据安全问题引发社会关注。2022年7月23日,第五届数字中国建设峰会在福州盛大开幕,国投旗下美亚柏科董事长滕达以《从“深度学习”到“深度伪造”——谈人工智能数据安全》为主题在数据法治分论坛上发表精彩演讲,深度剖析数字经济时代下的人工智能数据安全。
发布时间:2022-08-02 18:37 | 阅读:66494 | 评论:0 | 标签:数据安全 美亚柏科 学习 人工智能 智能 安全 中国

微服务知识学习框架

前段时间重读赵成老师《进化:运维技术变革与实践探索》一书时,脑海里就有个强烈的念头 -- 要系统性研究下微服务架构。从 IT 视角来看,系统架构决定了组织架构,也进化出了与之匹配的开发模式(如敏捷、DevOps)、运维模式(如停机变更、持续交付)。网络安全漏洞更是随着架构和工具的实现,在不断变化,以Java技术栈为例,有框架漏洞(struts、spring、weblogic)、协议漏洞(RMI、反序列化),还有web容器漏洞(tomcat、jboss、Glassfish),如果没有架构知识做支撑,很难厘清各种名词之间的关系,从而只见树木不见森林,迷失在新技术名词之中。
发布时间:2022-07-31 11:05 | 阅读:102075 | 评论:0 | 标签:学习 微服务

sql注入学习笔记

#“雪花”创作激励计划 125个 本文为看雪论坛优秀文章看雪论坛作者ID:ArT1_首先来了解一下在CTF中最为常见的sql查询语句:select * from users where username='$username' and password='$password';这个语句的意图也非常明显,查询users数据表中的所有字段,看能否找到用户输入的用户名和对应的密码。利用点也很明确,通过闭合单引号在该查询语句的基础上添加我们想要的查询语句(此即为sql注入)。 下面对CTF中出现的一些常见考点做一个简单的梳理和总结。
发布时间:2022-07-28 19:52 | 阅读:87170 | 评论:0 | 标签:注入 学习 SQL

DeepJIT:用于实时缺陷预测的端到端深度学习框架

#论文笔记 179个 原文标题:DeepJIT: An End-To-End Deep Learning Framework for Just-In-Time Defect Prediction原文作者:Hoang T, Dam H K, Kamei Y, et al.原文链接:https://ink.library.
发布时间:2022-07-27 11:00 | 阅读:83097 | 评论:0 | 标签:学习

11.腾讯云物联网设备端学习---广播功能及实现

本系列主要目的在于记录腾讯云物联网设备端的学习笔记,并且对设备端SDK进行补充说明。简介广播功能广播功能是较为简单的功能,设备端订阅主题后,服务器通过云API(PublishBroadcastMessage)下发消息,设备端即可收到广播消息。下面主要以广播功能为例子,介绍下如何基于iot-hub-device-c-sdk 实现该功能。
发布时间:2022-07-22 02:16 | 阅读:66041 | 评论:0 | 标签:学习 物联网 腾讯

虚拟化安全|从一道CTF题目学习KVM

#kvm 1 个 #虚拟机 1 个 #工控安全 1 个 前言KVM 全称是基于内核的虚拟机(Kernel-based Virtual Machine),它是Linux 的一个内核模块,K基于虚拟化扩展(Intel VT 或者 AMD-V)的 X86 硬件的开源的 Linux 原生的全虚拟化解决方案。KVM 本身不执行任何硬件模拟,需要用户空间程序(QEMU)通过/dev/kvm 接口设置一个客户机虚拟服务器的地址空间,向它提供模拟 I/O,并将它的视频显示映射回宿主的显示屏。
发布时间:2022-07-20 13:57 | 阅读:74884 | 评论:0 | 标签:学习 虚拟化 安全 CTF 题目

端到端的基于深度学习的网络入侵检测方法

摘 要:当前网络入侵检测大多使用人工特征,但是人工特征往往不能适应新型攻击,重新设计人工特征又需要专家知识。对此,提出了一种算法,该算法从网络流量数据中提取会话作为样本,并将样本送入两个神经网络,会话的一系列有时间顺序的数据包视为一维序列送入门控循环单元,融合会话的一系列数据包视为二维图像送入卷积神经网络。分别在两个网络提取特征,最后融合这两个特征送入全连接网络执行入侵检测。所提算法同时关注了会话的时序信息和整体空间信息,自动从流量数据中学习特征。使用 CICIDS-2018 网络流量数据进行实验,实验表明该算法识别僵尸网络、分布式拒绝服务攻击的效果优于人工特征。
发布时间:2022-07-15 16:52 | 阅读:67912 | 评论:0 | 标签:入侵 学习 网络

Frida工作原理学习

一、frida介绍frida是一款便携的、自由的、支持全平台的hook框架,可以通过编写JavaScript、Python代码来和frida_server端进行交互,还记得当年用xposed时那种写了一大堆代码每次修改都要重新打包安装重启手机、那种调试调到头皮发麻的痛苦,百分之30的时间都是在那里安装重启安装重启。
发布时间:2022-07-13 10:59 | 阅读:99696 | 评论:0 | 标签:学习

从CICD漏洞靶场中学习持续集成安全

漏洞靶场地址:https://github.com/cider-security-research/cicd-goat靶场介绍靶场有CTFd平台搭建的几个难度的CI/CD测试环境,需要得到对应的Flag并提交。搭建好靶场后,访问http://localhost:8000/地址并输入alice为用户名和密码,即可看到由简单、中等、高等三个不同等级的难度的题目。这里的题目是根据Cider提供的Top10 CI/CD Security Risks出的对应缺陷靶场Reference[1]。后续我会在解题中对应相关的Risks风险。
发布时间:2022-07-11 11:00 | 阅读:107679 | 评论:0 | 标签:漏洞 学习 靶场 安全

进化的隐藏水印:深度学习提升版权保护的鲁棒性

 一、前言过去几年,以网络视频为代表的泛网络视听领域的崛起,是互联网经济飞速发展最为夺目的大事件之一。泛网络视听领域不仅是21世纪以来互联网领域的重要基础应用、大众文化生活的主要载体,而且在推动中国经济新旧动能转化方面也发挥了重要作用。据中国网络视听节目服务协会发布的《2021中国网络视听发展研究报告》显示,截至2020年12月,我国网络视听用户规模达9.44亿,2020年泛网络视听产业规模破6000亿元。然而,自泛网络视听诞生之初,盗版如同一颗毒瘤一样蔓延滋长,危害与日俱增,加强网络版权保护,任务紧迫而艰巨。版权保护技术是指针对盗版侵权行为的确权存证以及监测、取证等技术。
发布时间:2022-07-06 17:38 | 阅读:91913 | 评论:0 | 标签:学习 保护

学习网络安全后,这四大就业方向可以选择!

  近几年,随着网络安全被列为国家安全战略的一部分,使国家安全这个行业的发展速度提升了不少,除了一些传统的安全厂商外,越来越多的互联网公司开始逐渐重视网络安全,引入了不少新鲜血液。
发布时间:2022-07-05 02:15 | 阅读:93226 | 评论:0 | 标签:学习 网络安全 安全 网络

用AI攻击AI?对抗性机器学习的威胁与防御

越来越多的企业组织开始应用人工智能(Artificial Intelligence,缩写AI)和机器学习(Machine Learning,缩写ML)项目,保护这些项目变得日益重要。IBM和Morning Consult联合开展的一项调查显示,在7500多家受访跨国企业中,35%的企业已经在使用AI,比去年增加了13%,另有42%的企业在研究可行性。然而近20%的公司表示在保护AI系统的数据方面存在困难,这减慢了采用AI的步伐。保护AI和ML系统面临重大挑战,一些挑战并不是AI技术本身造成的。比如说,AI和ML系统需要数据,如果数据包含敏感或隐私信息,就会成为攻击者的目标。
发布时间:2022-07-01 18:40 | 阅读:85368 | 评论:0 | 标签:人工智能 对抗性机器学习 机器学习 防御 攻击 学习 AI

干货 | 文件上传绕过的一次思路总结学习

前言 我是来总结的,嘀嘀嘀开车了!!! 原文:文件上传绕过的一次思路总结(两个上传点组合Getshell) 0x00 测试上传正常文件 这里可以判定文件名虽
发布时间:2022-07-01 18:37 | 阅读:73103 | 评论:0 | 标签:asa ashx asmx cer jspf jspx php3 phtm 文件上传 绕过 学习

反后门学习:在有毒数据上训练干净的模型

后门攻击通过在训练样本中添加恶意触发器,对模型安插后门并在测试阶段控制模型的预测结果。后门攻击无疑对深度模型的安全训练和部署提出了巨大挑战。针对上述问题,由西电网信院、迪肯大学,索尼AI,墨尔本大学和UIUC合作完成的Anti-Backdoor Learning: Training Clean Models on Poisoned Data的后门防御论文在NeurIPS2021上发表。本文首次提出了反后门学习理论和方法,它旨在有毒的后门数据上训练出一个干净的模型。
发布时间:2022-07-01 11:07 | 阅读:62452 | 评论:0 | 标签:后门 学习

Akamai保护的相关网站(IHG,TI)学习记录

之前没怎么看web,就看抖音的时候看过一下web版本,最近接触了下Akamai,主要看了下面2个网站:https://www.ihg.com/https://www.ti.com相比二进制的逆向,这个套路还是有点不同,这里记录下分析过程,技术交流用。现在回过头来看,主要是两个部分:1、指纹检测,发起的http请求中的ja3指纹要跟浏览器一致的(还要考虑不同版本的浏览器有特定的header字段,总之就是要伪装成真实浏览器请求)。
发布时间:2022-06-30 10:50 | 阅读:74592 | 评论:0 | 标签:学习 AI 保护

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁