1 anquanniu牛油果

尚未进行身份认证

暂无相关描述

等级
TA的排名 5w+

互联网金融的信息安全(一)新环境的安全形势

信息安全行业在转变求创新,因为它所服务的对象本身在变化,传统业务在逐步地使用互联网工具往前推进,推进过程中发生了很多阻力很多问题,这个时候信息安全就尤为重要,所以我们选择这个典型的金融行业来讲信息安全,金融行业是最快速使用互联网模式的,像P2P以及其他业务线,是业务比较复杂的体系。互联网新环境的安全形势全球互联网安全态势未来互联网安全需求互联网金融的安全需求敏感信息防泄漏安全融入业务风...

2019-09-20 18:01:42

机器学习与网络安全(四)概率学基础

计算机科学所处理的内容大部分是完全确定且必然的,程序员写程序时是假定CPU将完美执行每条指令,硬件错误是非常罕见并在编程阶段几乎不予考虑。深度学习通常是处理一些不确定的随机的量,像我们初始化的时候,经常会把权值初始化为随机值,有的实验中是这样做的。但机器学习中几乎处处都会使用概率,例如:评估一种疾病的爆发率预测货币交易在某一时间点的市值理解一句话中每个词语间的关联含义(自然语言像智能翻译...

2019-09-19 17:55:26

机器学习与网络安全(三)线性代数

​​现在的人工智能完全由数据来驱动,我们所见到的数据,比方说一张图片有三个通道,分为R(红)、G(绿)、B(蓝),每个通道是一个图层,相当于有三张图层,比如每一张图片是5050像素,5050*3就是整个数据的大小。这种数据在人工智能使用时,会被变成一个矩阵,相当于有一个50行50列高度3的矩阵,矩阵里面每一个小单元是一个数字,这个数字就是像素。从0到255反映颜色的色阶从少到多,三通道反映了点的颜...

2019-09-19 17:42:24

CTF从入门到提升(十六)代码执行相关函数及例题分享

代码/命令执行比如说能够对一个php的站点,控制php代码,那么我们就把它划分为代码执行,如果能执行网站所在服务器中的命令,我们这就把它划分为命令执行,因为它执行的是系统命令。一般来说代码或命令执行漏洞都存在一个相关函数,通过控制部分参数传递到函数中实现命令执行。说到CTF题型中的这种攻击手段,一定要知道哪些函数能够被利用需要我们去关注的,首先会带大家了解一些代码注入的相关函数,例如执行...

2019-09-17 15:02:59

CTF从入门到提升(十五)自包含

具体场景——php自包含getshell两个思路:1、Phpinfo()包含文件返回临时文件名,我们是在文件上传环节进行包含,如果不删除临时文件我们可以生成临时文件,2、没有phpinfo,上传文件同样会生成临时文件,没有删除也可以实现包含,爆破文件名即可。如何让它不进行删除?​操作演示​我们从这道题学一些解题思路,注册后登录:我们刚刚传的值会入数据库,这里我们可以...

2019-09-16 16:52:33

CTF从入门到提升(十四)session phpinfo包含及例题详解

具体场景——sessionPHP默认生成的session文件往往存放在/tmp目录下举栗子​题目内容:看看我的notebooktips;tips:文件包含phpinfo是不是有新的发现用给到的内容去做题目,我们可以看一下这道题目,进来之后首页找到url。如果把php删掉,会发现登录入口不存在,初步推断php是后缀名会自动拼接到URL后面。有了这个设想判断后,我们去读文件log...

2019-09-16 12:05:20

CTF从入门到提升(十三)文件包含session及例题详解

具体场景——session我们可以查一下手册,看看这个参数是默认开启:举栗子​通过上传一个orange作为key传一个值传给这个变量,放到file函数中,再去比对file函数读取结果文件中的第一行0前面六个字符串是否匹配,如果是orange就会作为包含,否则就会显示源代码。这道题的难点在于包含一个文件要控制里面的内容,file函数的作用是把一个整一个文件读到一个数据中去,file...

2019-09-12 14:43:39

CTF从入门到提升(十二)文件包含 plus篇

具体场景——伪装协议利用php流如果要实现文件包含漏洞,前提是非可执行文件,例如网站的源码都是可执行文件,拿php来说,大部分情况下都是.php文件,如果包含就没有意义了,因为直接包含相当于把代码拿来做执行,不可执行代码包进来没有任何反应,所以把文件变成不可执行代码就可以了。举栗子执行过程中会发现时间变慢了,接下来它的页面会不停的输出asdf,这样会消耗它的内存,结束之后它的...

2019-09-09 11:14:51

CTF从入门到提升(十一)文件包含

​​Includestdio.hImportrequest很多网站的admin(管理员)入口和user(用户)入口是分开的,登陆过程所调用的函数可能都是同一个函数,最后操作的表不同。如果调用的是同一个函数,网站一般分开两个文件存储:admin目录和user目录。在不同文件中,如果没有使用“文件包含”这个操作,同一个函数就会出现在两个文件中增加重复工作的工作量。但是如果使用“文件包含”...

2019-09-09 11:00:56

CTF从入门到提升(十)文件上传

​​服务端校验——白名单白名单和上一节讲的黑名单的区别在哪里?黑名单是未经许可非法用户禁止入内,我禁止某些人入内,大部分人是可以进去的。白名单是未经允许禁止入内,只有允许的人才能进入,对应的文件上传就是只有合法文件才能上传。解析的时候我们为什么要文件合法?因为中间件能够解析,只允许不能被解释的文件且只符合当前业务的文件才能够上传。比如头像png、jpg、gif,不需要其他的文件名,做好限制极...

2019-09-09 10:22:59

CTF从入门到提升(九)文件上传以及相关例题分享

文件上传主要是配合一些漏洞的利用,普遍意义上的文件上传是指将信息从个人计算机传送至中央计算机,也就是我们所说的远程计算机,对站点来说,就是传到运行网站的服务器上。一般网站都有自己的逻辑,比如在网站的注册页面,你想要上传个头像,网站只需要你上传头像,而不是传其他类型的文件。CTF上传文件的目的是getshell,我们最终目的是拿到题目的flag,如果说存在一个上传的地方,很有可能它的目的就...

2019-09-04 19:06:46

CTF从入门到提升(八)desc注入及相关例题分享

desc注入及相关例题分享desc是函数describe的简写,一般用来提供和表相关的列信息来查看表的结构。很多CTF赛题考点都是运用它的一些我们不太熟悉的特性或者说使用方法。常规来讲desc后面跟的是表名,但事实远不止于此,除了表名还可以有第二个参数。而且在第二个参数中,它除了列名之外,还可以是包含sql通配符的字符串。演示一下:它会出一个表的一个结构。下一个参数去跟一个列名:...

2019-09-03 15:13:26

CTF从入门到提升(七)insert 等数据表相关操作注入及例题分享

本次分享内容:insertupdatedelete对数据表操作的一些基本问题及例题分享。insert语法介绍insert插入到某张表中,后面跟上设置的参数以及值。在insert的时候可以使用哪些注入方法呢?比如这个报错的方法,如果报错可以使用,那么同理其他函数也是可以使用的。首先看下语句使用,如下图:update语法介绍update即对整张表做数据更新我们在set这个...

2019-08-29 14:34:16

CTF从入门到提升(六)order_by注入及例题分享

位运算符我们都知道常规的注入,比如id=100这种类型可以查询出一篇文章,如果把100换成99+1它一样可以查出,因为它会做计算。order_by去判断列数的时候,如果把id=4换成3+1去执行,出来的结果并没有做计算,所以这个运算效果没有意义。运算符如何运算呢?位运算是将每一个值转化成一个二进制字符串。按位的“and”或“or”,假设2|3,转成字符串就是3。ORDER...

2019-08-28 11:26:48

CTF从入门到提升(五) 部分截取函数及bool型盲注相关例题分析

bool型盲注有区别与之前的基于时间的盲注,bool型盲注的页面输入会影响输出。​​我们来看操作理解一下:语句结构id=1,我们去做判断的时候是id=1and1=1,and1=1的本质是返回一个true,true可以用1来代替,正常回显。我们很多时候就会去接and=0,0类似于1=2返回是false,false类似于0的作用。最后会影响到查询结果的是后面的0和1。比如说触发查询...

2019-08-27 11:21:14

机器学习与网络安全(二)开发环境创建

本次分享内容:开发环境的搭建、谷歌Tensorflow的部署、IDE的使用方法。​​由于我们的课程是使用了深度学习技术,主要的开发过程会集中在数据处理这个环节上。这种开发任务需要我们多次频繁地执行某些小的语句块,例如训练过程需要不断地调参,对数据初始化并且进行重复地训练。Tensorflow的安装为了避免安装部署过程中可能产生的问题,我们选择安装anaconda作为我们的开发库,使用an...

2019-08-23 11:58:57

机器学习与网络安全(一)

深度学习技术目前是人工智能这个领域里面最核心的一门技术。首先就是说要从人工智能来谈起,人工智能它是研究开发用于模拟延伸和扩展人类智能的理论方法技术以及应用系统的一门新的技术科学。人工智能好早以前就有的,局限于当时的技术,还有一些理论方法都不够成熟,所不能达到人们想要的一些要求。目前来说,人工智能的突破仅仅体现在应用于某些个别的领域,包括以下几种类型:​人工智能要分为“人工”跟“智能”这两个...

2019-08-21 18:36:44

CTF从入门到提升(四)基于时间盲注例题及解法

基于时间的盲注,本次内容会涉及到写一些脚本。​​这里我先简单的示范,有两个网址推荐给大家,看一下到底能不能影响到这个数据,这里用一个插件。​这个插件更新之前还挺好用的,更新之后就不太好用了。这里添加三个参数。第一个,添加字段头用哪一个网址,这里添加了Headername,添加字段的名称X-Forwarded-For,然后到页面开启。我们会发现它可以成功去修改它回写的内容,这个数据段...

2019-08-21 10:26:51

CTF从入门到提升(三)基于时间的盲注及部分函数

本次内容会先介绍一些函数,然后结合一些题目进行讲解。这里的基于时间是指延时。​​我们对于盲注最早接触的应该就是SLEEP函数,很多编程语言中都有它。函数的特点就是添加延时功能,我们可以看一下它的一个效果是什么样子的。(在这里我做一个演示,如果大家想看可以到安全牛课堂的视频里看动手操作CTF从入门到提升课时3:1分10秒)举栗子:在添加了SLEEP函数之后,它的运行结果要是...

2019-08-20 11:26:05

信息安全意识-密码安全

密码安全,顾名思义,它指的是对于我们密码的安全。密码是我们生活中最常见的进行身份验证的一个因素,一般我们在登录系统或者是其他应用程序的时候,最先需要利用用户名和密码来验证我们的身份,这称为单因素身份验证。除了密码之外,我们还可以再进一步利用数字令牌、利用生物特征,比如虹膜扫描,视网膜扫描等来对你进行身份验证,但密码永远是最常见的身份验证的第一个因素。密码作为最基本的一个身份验证的因素,如果没有被...

2019-08-16 15:47:58

查看更多

勋章 我的勋章
  • 持之以恒
    持之以恒
    授予每个自然月内发布4篇或4篇以上原创或翻译IT博文的用户。不积跬步无以至千里,不积小流无以成江海,程序人生的精彩需要坚持不懈地积累!
  • 勤写标兵Lv2
    勤写标兵Lv2
    授予每个自然周发布4篇到6篇原创IT博文的用户。本勋章将于次周周三上午根据用户上周的博文发布情况由系统自动颁发。