Stardustsky个人博客

Tag "安全" 相关文章    总计2页,当前第1页

网络安全

vhosts.conf配置不当引发的血案

6

说起来这个问题比较有意思,是一次偶然的意外发现,经过一系列追踪,最后发现vhosts.conf配置的锅,所以分享一波给大家,相信不少的人也会遇到和我同样的问题。起因本文源于一日我测试公司的安全产品,便对自己的网站做了一个反向代理,大概就是下图的样子。proxyip:172.12.16.118mywebip:www.stardustsky.net...

9个月前 (10-24) 阅读(584) 评论()

数据科学

TF-IDF、词袋模型与特征工程

0

如标题,TF-IDF与词集词袋模型都是数据预处理中常用的算法,这里介绍一下这两种算法的联合应用。一.词集与词袋模型这个算法的主要作用也就是对文本做单词切分,有点从一篇文章里提取关键词这种意思,旨在用向量来描述文本的主要内容。词集模型:单词构成的集合,集合中每个元素只有一个,即词集中的每个单词都只有一个。词袋模型:如果一个单词在文档中出现不止一次,就...

9个月前 (10-09) 阅读(562) 评论()

数据科学

基于svm算法的简单XSS攻击识别模型

12

学习机器学习已经有段时间了,心里一直在寻思着如何将其运用在安全上,前几天刚好看到兜哥的那篇文章,于是花了两天时间实现了一个简单的基于svm的xss过滤器,这里做一个比较接地气的分享。1.概念理解首先还是科普一些基础概念,什么是SVM,SVM叫支持向量机,是建立在统计学习理论的VC维理论和结构风险最小原理基础上的,根据有限的样本信息在模型的复杂性(即对特...

1年前 (2017-04-01) 阅读(866) 评论()

网络安全

跨过浏览器同源策略

1

0x01 前言同源策略这玩意一直是玩web安全的朋友头疼的问题,如今的浏览器沙盒对这方面的限制越来越严格,可利用的场景也愈加有限,但仍旧存在绕过同源策略一些tips。其实很早就想写这篇文章了,最近看到一些关于这方面的话题,刚好做一个总结。0x02 同源策略简介简单来说:同源策略就是域名、协议或端口不同的两个页面在未授权的情况下,无法读取...

2年前 (2016-05-04) 阅读(1033) 评论()

网络安全

一种新的攻击方法——Java-Web-Expression-Language-Injection

2

0×00引言在2014年6月18日@终极修炼师曾发布这样一条微博:链接的内容是一个名为Jenkins的服务,可以在没有password的情况下受到攻击。而攻击方法比较有趣,Jenkins提供了一个ScriptConsole功能,可以执行Groovy脚本语言。下面我们来看下维基百科对于这个脚本语言的解释:Groovy是Java平台上设计的面向对象编程语言...

2年前 (2016-04-15) 阅读(1067) 评论()

数据科学

攻击大数据应用(一)

13

0x01前言随着大数据时代的到来,越来越多的大数据技术已逐渐被应用于实际生产,但作为一个安全人员,我们关注点必然和安全相关,那大数据环境中面临的安全问题又有哪些呢?翻了翻这方面的案例,乌云上已有不少同学发了些这相关的问题,但我发现却没有比较系统的一个整理,这里我做一个paper,整理下这方面的漏洞类型和笔者自己所见到过的一些问题,做一个探索性的总结,希望能与...

2年前 (2016-03-30) 阅读(923) 评论()