Stardustsky个人博客

小站共有文章 56 篇 / 标签 76 个 / 总评论 17 次 最近更新

网络安全

PHPCMS-2008 SP4命令注入漏洞分析(CVE-2018-19127)

1

在说这个漏洞之前,我们先需要了解phpcms的一个机制,就是类似于全局变量注册的一个东西,方便于程序员的开发,很多的CMS都会通过代码实现这样一套机制.这套机制类似于早先php版本中的register_globals,后来因为安全问题,在5.30后被废除了,因此很多cms自己实现,但因为安全问题,这样机制一般会经过比较严格的过滤.我们来看phpcms,在co...

2周前 (11-28) 阅读(229) 评论()

网络安全

验证码破解之多种姿势玩弄验证码

0

之前在知乎分享了一篇关于如何破解现在主流验证码的帖子,包含对现在主流验证码的分析和破解方式,受到了不少朋友的关注,这里还是在博客发一下,希望可以让更多有需要的朋友看见:验证码破解攻略...

3周前 (11-21) 阅读(86) 评论()

人生感悟

五年杂谈&Github启用

0

不知不觉,搞安全已经五年了,感觉时间已经过去很久,从当初那个心潮澎湃的学生到如今成为一个成熟的安全从业者,一路走来,感触颇多,今天突然有感,想写点什么,算是给自己的网络安全生涯留下一个小小的印记.Part1恋爱会有一个七年之痒,可能技术也一样,大抵是当你对一个东西很熟悉了以后,就会开始产生一些疲态,可能对技术者而言,就是属于自己的瓶颈期.当你长期困于一个瓶...

1个月前 (11-14) 阅读(89) 评论()

数据科学

机器学习数据处理流

1

最近有点忙,挺长时间没写日志了,整理了一下机器学习数据处理整个阶段可能涉及的东西,分享一下.XMind附件:思维导图...

3个月前 (09-12) 阅读(237) 评论()

数据科学

时序模型研究

1

一、研究原因最近一段时间都在做对时序的研究,而这源于在做对攻击payload向量化的时候遇到的一些存在的问题。机器学习中黑白集都必须最终实例化为数组的形式,才能进行训练,而这些数组的元素又必须是数字的,因此,在对一个字符串+数字+符号构成的payload进行向量化的时候,就会遇到很多的问题。比如:http://www.baidu.com/index.p...

10个月前 (02-09) 阅读(896) 评论()

网络安全

vhosts.conf配置不当引发的血案

6

说起来这个问题比较有意思,是一次偶然的意外发现,经过一系列追踪,最后发现vhosts.conf配置的锅,所以分享一波给大家,相信不少的人也会遇到和我同样的问题。起因本文源于一日我测试公司的安全产品,便对自己的网站做了一个反向代理,大概就是下图的样子。proxyip:172.12.16.118mywebip:www.stardustsky.net...

1年前 (2017-10-24) 阅读(1080) 评论()