使用隨機森林識別暴力破解
1.暴力破解 暴力破解是一種最直接、最笨拙的攻擊方式,見名知意,就是攻擊者通過窮舉所有可能的密鑰、口令或輸入組合,直到找到正確答案為止。 這種攻擊方式看起來很low,但在現實中卻屢見不鮮,因為許多用户仍然習慣使用過於簡單的弱口令,比如像什麼123456,或者是password或是生日、手機號等。 極易猜測的信息,一旦系統沒有設置登錄嘗試次數限制,攻擊者就可以藉助自動化工具快速完成大規模的密碼測試。
蟻景網安實驗室 動態日志
動態
列表
浙大恩特前台RCE漏洞審計
指紋:title="歡迎使用浙大恩特客户資源管理系統" 本文對該系統公開在互聯網,但未分析代碼細節的漏洞進行審計分析: 前台文件上傳RCE 該系統2019版本存在權限繞過加文件上傳組合漏洞,可通過上傳webshell實現前台RCE。 公開POC: POST /entsoft/CustomerAction.entphone;.js?method=loadFile HTTP/1.1Host: User
記2025羊城杯部分題目的解題思路
0.前言 好久沒打CTF了,打個羊城杯回顧一下,記錄一下做題過程。 1.web1 給了份php代碼 ?php error_reporting(0); highlight_file(__FILE__); class A { public $first; public $step; public $next; public function __construct() {
用隱式馬爾科夫模型檢測XSS攻擊Payload
0.前言 學習一下如何使用機器學習的方式去識別XSS Payload。 1.XSS介紹 其實xss説白了,就是通過向網頁中注入惡意的腳本代碼,一般來説都是 JavaScript,讓代碼在其他用户的瀏覽器中執行,從而達到竊取信息、冒充身份、傳播木馬等目的。 換句話説,網站本來應該只展示安全的內容的,但是攻擊者把一些惡意的腳本給塞入了網站中,讓瀏覽器錯誤地把其當成正常內容執行了。 大概有以下這幾種分類
使用樸素貝葉斯識別惡意域名
0.前言 在護網的過程中,經常需要反向連接,就有可能連接到域名上,所以可以做一個識別,判斷是不是一些APT組織通過一些批量的代碼生成的惡意域名。 1.樸素貝葉斯 樸素貝葉斯算法原理:其實樸素貝葉斯方法是一種生成模型,對於給定的輸入x,通過學習到的模型計算後驗概率分佈P ,將後驗概率最大的類作為x的類輸出。 舉個例子,a : 1(a的值是1) 對應的標籤是0,a的值是1那麼標籤為0的概率是多少? 優