标签归档:积累

基于机器学习的web异常检测【转】

2017-02-11 阿里聚安全 FreeBuf FreeBuf

Web防火墙是信息安全的第一道防线。随着网络技术的快速更新,新的黑客技术也层出不穷,为传统规则防火墙带来了挑战。传统web入侵检测技术通过维护规则集对入侵访问进行拦截。一方面,硬规则在灵活的黑客面前,很容易被绕过,且基于以往知识的规则集难以应对0day攻击;另一方面,攻防对抗水涨船高,防守方规则的构造和维护门槛高、成本大。 

基于机器学习技术的新一代web入侵检测技术有望弥补传统规则集方法的不足,为web对抗的防守端带来新的发展和突破。机器学习方法能够基于大量数据进行自动化学习和训练,已经在图像、语音、自然语言处理等方面广泛应用。

然而,机器学习应用于web入侵检测也存在挑战,其中最大的困难就是标签数据的缺乏。尽管有大量的正常访问流量数据,但web入侵样本稀少,且变化多样,对模型的学习和训练造成困难。

因此,目前大多数web入侵检测都是基于无监督的方法,针对大量正常日志建立模型(Profile),而与正常流量不符的则被识别为异常。这个思路与拦截规则的构造恰恰相反。拦截规则意在识别入侵行为,因而需要在对抗中“随机应变”;而基于profile的方法旨在建模正常流量,在对抗中“以不变应万变”,且更难被绕过。

 

发表在 产品设计, 渗透技术 | 标签为 , , , | 留下评论

基于Android平台的渗透测试工具兵器谱【转】

作者:小鸟

链接:https://zhuanlan.zhihu.com/p/22302904
来源:知乎

写在前面的话:推荐一些初学者使用的android渗透测试工具,android渗透测试工具集中了很多的方法,使使用的便携性,效率都大大提高,对于希望涉足这个领域的朋友,可以通过使用和了解这些工具建立初步的认知。

0x00  逆向工程和静态分析类

Oat2dex:主要用途就是将.oat文件转成.dex文件

如何反编译Android 5.0

发表在 未分类, 经验技术 | 标签为 , , , , | 留下评论

Linux Backdoor【转】

Linux Backdoor

0x00 前言


前一段时间学习一小部分内网的小笔记,http://zone.wooyun.org/content/26415

发表在 Linux, 资源收集 | 标签为 , , , | 留下评论

安全专业人士最爱的 19 个 GitHub 开源项目[转]

GitHub上有许多开源项目可供安全专业人士选择,而且每天都有新的项目出现。不妨将这些项目添加到你的工具库,让你工作起来更得心应手。

说到执行常规维护、化解危机或研究新项目,大多数管理员要么手动执行任务,要么编写让这个过程自动化的脚本。但是那些聪明人在寻找功能强大的工具来完成这项工作。

GitHub上有800多个面向安全的项目,为IT管理员和信息安全专业人士提供了丰富的工具和框架,它们可以用于恶意软件分析、渗透测试、计算机及网络取证分析、事件响应、网络监控及其他众多任务。

下面介绍了一些最出色的开源安全项目,负责保护系统和网络的人都应该仔细看一看。我们按任务性质对它们进行了归类,以便查阅:

渗透测试

说到渗透测试,只要看一看Rapid7的Metasploit框架https://github.com/rapid7/metasploit-framework)。有了庞大的漏洞资料库,安全专业人士可以使用漏洞开发和交付系统,抢在攻击者之前,评估应用程序或网络的安全性。…

发表在 资源收集 | 标签为 , , , | 留下评论

伽利略远程监控系统完全安装指南[转]

伽利略远程监控系统完全安装指南

2015-09-15 黑客与极客

7月初,外媒用臭名昭著形容意大利的网络军火商公司hacking team及其被黑事件,黑吃黑的黑客将该公司rcs系统的安装程序、源代码和邮件打包供所有人下载,更有人在github上用hackedteam打趣存储这些资料。

hacking team被黑事件发生时,国内的安全公司和安全研究人员都抢先分析了hacking team使用的0day漏洞和源代码,但很少有人提及整套rcs系统,rcs系统的全称是Galileo Remote Control

发表在 Safety, Skill | 标签为 , , | 留下评论

GSM Hacking:静默短信在技术侦查中的应用[转]

GSM Hacking:静默短信在技术侦查中的应用

2016-03-15 fl00der 黑客与极客

*本文原创作者:fl00der

0x00 前言

技术侦查时我们经常需要对目标人物进行定位,监听目标人物的电话和短信。

如何做到呢?首选当然是高大上的7号信令系统(SS7)。你需要一个能够访问的支持MAP(Mobile

发表在 SDR | 标签为 , , | 留下评论

(总结)密码破解之王:Ophcrack彩虹表(Rainbow Tables)原理详解(附:120G彩虹表下载)【转】

发表在 Skill | 标签为 , | 留下评论

为什么文件属性中的“访问时间”和“修改时间”不一致?[转]

为什么文件属性中的“访问时间”和“修改时间”不一致?

在Win7下,我注意到一个现象,就是经常文件属性中的“访问时间”和“修改时间”是不一致的,如下图:

 

image_thumb

这个文件是我在21:41 创建的,然后我在21:42修理里面的内容并保存。按照常理,访问时间应该和修改时间一致才对。现象是反而比修改时间早,很奇怪。

根据

发表在 Skill, Windows | 标签为 , , , , | 留下评论

php 支持断点续传的文件下载类【转】

版权声明:本文为博主原创文章,未经博主允许不得转载。如需转载可私信或关注公众号fdipzone-idea与我联系。

php 支持断点续传,主要依靠HTTP协议中 header HTTP_RANGE实现。

HTTP断点续传原理
Http头 Range、Content-Range()
HTTP头中一般断点下载时才用到Range和Content-Range实体头,
Range用户请求头中,指定第一个字节的位置和最后一个字节的位置,如(Range:200-300)

发表在 PHP, Skill | 标签为 , , | 留下评论

MD5碰撞的演化之路[转]

MD5碰撞的演化之路

        0x1概述

自从王小云破解MD5算法后,国内外对MD5碰撞的相关研究与恶意利用从未停止。MD5算法的应用领域很多,就软件安全方面来说,陆续发现了一批利用MD5碰撞对抗安全软件的恶意样本。这些样本中,大部分采用早期的一种较为成熟的快速MD5碰撞利用方式,然而有一部分比较特殊,因其采用了新型的碰撞方式。

这种新型的碰撞样本在2014年初开始出现,当时还处于测试阶段,所以只有少数样本在传播。直到2015年初,新型碰撞样本大规模爆发,经过分析和追踪,可以确定采用新型碰撞手法的大批量样本是由同一团伙制做,后续称为碰撞作者。2015年9月,对抗升级,碰撞作者开始结合数字签名利用技术与安全软件对抗。2015年11月,碰撞作者进行新的尝试,利用双签名对抗查杀。下图是该碰撞作者近两年对抗手法的演化的过程:

t01f9166084b368f460

图1-1 碰撞作者近两年的攻击演化过程

根据上面的演化过程,本文将围绕碰撞作者各阶段的利用手法展开详细的分析。首先,介绍新型MD5碰撞的特点,通过与早期版本的对比来认识新型碰撞手法的“先进性”。接着,进一步介绍新型MD5碰撞与数字签名结合的高级利用手法,以及碰撞作者放弃碰撞方法而采用双签名进行对抗的新尝试。然后,通过一例样本的行为分析介绍碰撞作者的典型攻击流程。最后,对碰撞作者的恶意软件传播和影响进行统计与信息挖掘。

        0x2新型碰撞特点

早期的碰撞样本,主要采用“前缀构造法”,以同一个给定的前缀程序A为基础,在尾部添加不同的附加数据,得到两个具有相同MD5的样本B和C,如下图所示:

t019de65775516a6d3b

图2-1 …

发表在 Safety | 标签为 , , | 留下评论