grt1st's blog | 但行好事,莫问前程。

grt1st个人博客

django部署之前的检查清单

在部署django在线上环境时,我们都要考虑些什么呢?本文不关注域名的配置、服务器的购买使用、wsgi和web服务器的选择配置等等,而是从部署角度来讲,要考虑哪些安全性因素。 0x00.部署步骤 无论你怎么使用django,至少以下步骤肯定是你要做的 确定开发版本。比如我的环境是python3,django版本是2.0 安装项目依赖。最常见的,比如requirments.txt 从git仓......

对dom xss的一次记录

一提起xss攻击,很多人都会想到它有三种类型,分别是反射型、存储型和dom xss。前两者大家都知道也很好理解,但是你说dom xss是什么呢?你真的真的知道吗? 0x00.开端 某一天,一个学弟突然问我“dom xss是什么啊,使用到onerror的吗”。于是回到前言,在我学xss的时候,确实是三种类型,很容易理解的反射型和存储型,但是dom xss是个什么东西呢?html不也是一个dom......

使用tensorflow识别验证码

0x01.前言 练习项目,使用tensorflow实现简单的验证码识别。 0x01.数据收集 通常来说,验证码识别项目中,数据的来源有两种: 使用代码生成 使用爬虫爬取 第一种方法比较实用,因为相比于第二种,它不需要人工手动打标签。在python中,常用的两种验证码生成的方法是使用captcha库,或使用pillow库手动来画。 这里我采用的方法为第二种,因为数据比较原汁原味。缺点就是,......

typecho install.php漏洞分析

0x00.前言 对2017.10的typecho前台GETSHELL漏洞的分析。 0x01.介绍 漏洞版本对应于Typecho 1.1(15.5.12),各个版本typecho下载链接。 严格来说,这并不是一个反序列漏洞,而是一个任意代码执行漏洞。因为虽然它使用了反序列化函数,但是利用点却在对象的实例化以及其后续的一系列的魔术方法中。 0x02.漏洞分析 1.漏洞入口 代码入口在instal......

说一说基于机器学习算法的webshell检测

只针对最近看到的两篇文章《Engineers at Work: Automatic Static Detection of Malicious JavaScript》与《lcatro/WebShell-Detect-By-Machine-Learning:使用机器学习识别WebShell》。 0x00.前言 笔者并没有针对性的研究机器学习在webshell上的检测,只是对两篇文章的总结与反思......

变分自编码器(VAE)基本结构的tensorflw实现

0x01.前言 代码参考自Variational Autoencoders Explained和Variational Autoencoder in TensorFlow,修修补补emmmmmmmm。 0x02.基本结构 变分自编码器(VAE)结构与自编码器(AE)结构类似,都有编码与解码部分。但是,VAE的中间变量与自编码器不同,并且由于损失函数的定义,使结果趋近概率分布。VAE的基本结构......

github敏感信息泄露及简单利用脚本

0x01.前言 github作为一个代码托管平台,有着海量的开源代码和许多开发者。在代码上传时,有些开发者缺乏安全意识,会在不经意间泄露自己的密码或者密钥。本文以这里为切入点,介绍一个检索代码敏感信息的小爬虫。 0x02.github信息泄露 正如前言所述,缺乏安全意识的开发者会造成这个问题。不止web路径下的.git目录会泄露信息,在托管的开源代码中也会产生信息泄露。例子很多,比如php连......

爬虫的小tricks

0x00.前言 最近写了一个小爬虫,结果遇到了一些问题,经过一番风雨解决了。并且开发出了新姿势,这里介绍一下。 0x01.优雅的会话机制 emmm是这样的,提交表单到登录页面,结果只返回没有登录。因为登录后会重定向到主页,所以我怀疑过程中重定向是不是发生了什么。 123imoprt requestsr = requests.post("https://github.com/session",......

机器学习之生成模型(GAN&VAE)综述

0x00.前言 一次偶然的机会(上课没事做),在知乎上刷到了一个dalao写的关于生成模型的一些小思考。 首先说,我只了解GAN的简单基本结构,知道它可以拿来做什么,也跑过一个失败的小例子。而对于变分自编码器(VAE),我也只停留在听过的水平。并且因为研究过自编码器,但是我却对变分自编码器一点都不了解。(这篇文章之后,经过主动了解,原来他俩不一样!) 从文章中我们了解到GAN与VAE两类主要......

由协会改革说一说我心中的团队建设

0x00.前言 1.协会旧制 在我大一的时候,协会每年都会招很多人,但是往往半年、一年后,都会有很多人离开,只有少部分人坚持留在协会。协会下设各个方向,比如web、二进制、密码等等。每周这些方向都会开组会,通常是组长负责,讲一些基础的东西给大一刚入会的新生。 2.人才状况 刚入学的时候,我对于电脑,了解的东西很少。万幸协会招了很多人,我才有幸成为协会的一员。12级、13级在我看来真的是dal......