在说这个漏洞之前,我们先需要了解phpcms的一个机制,就是类似于全局变量注册的一个东西,方便于程序员的开发,很多的CMS都会通过代码实现这样一套机制.这套机制类似于早先php版本中的register_globals,后来因为安全问题,在5.30后被废除了,因此很多cms自己实现,但因为安全问题,这样机制一般会经过比较严格的过滤.我们来看phpcms,在co...
2个月前 (11-28) 阅读(560) 评论()
之前在知乎分享了一篇关于如何破解现在主流验证码的帖子,包含对现在主流验证码的分析和破解方式,受到了不少朋友的关注,这里还是在博客发一下,希望可以让更多有需要的朋友看见:验证码破解攻略...
2个月前 (11-21) 阅读(230) 评论()
不知不觉,搞安全已经五年了,感觉时间已经过去很久,从当初那个心潮澎湃的学生到如今成为一个成熟的安全从业者,一路走来,感触颇多,今天突然有感,想写点什么,算是给自己的网络安全生涯留下一个小小的印记.Part1恋爱会有一个七年之痒,可能技术也一样,大抵是当你对一个东西很熟悉了以后,就会开始产生一些疲态,可能对技术者而言,就是属于自己的瓶颈期.当你长期困于一个瓶...
2个月前 (11-14) 阅读(192) 评论()
说起来这个问题比较有意思,是一次偶然的意外发现,经过一系列追踪,最后发现vhosts.conf配置的锅,所以分享一波给大家,相信不少的人也会遇到和我同样的问题。起因本文源于一日我测试公司的安全产品,便对自己的网站做了一个反向代理,大概就是下图的样子。proxyip:172.12.16.118mywebip:www.stardustsky.net...
1年前 (2017-10-24) 阅读(1172) 评论()
如标题,TF-IDF与词集词袋模型都是数据预处理中常用的算法,这里介绍一下这两种算法的联合应用。一.词集与词袋模型这个算法的主要作用也就是对文本做单词切分,有点从一篇文章里提取关键词这种意思,旨在用向量来描述文本的主要内容。词集模型:单词构成的集合,集合中每个元素只有一个,即词集中的每个单词都只有一个。词袋模型:如果一个单词在文档中出现不止一次,就...
1年前 (2017-10-09) 阅读(1267) 评论()
学习机器学习已经有段时间了,心里一直在寻思着如何将其运用在安全上,前几天刚好看到兜哥的那篇文章,于是花了两天时间实现了一个简单的基于svm的xss过滤器,这里做一个比较接地气的分享。1.概念理解首先还是科普一些基础概念,什么是SVM,SVM叫支持向量机,是建立在统计学习理论的VC维理论和结构风险最小原理基础上的,根据有限的样本信息在模型的复杂性(即对特...
2年前 (2017-04-01) 阅读(1085) 评论()