Welcome to Bindog's Blog!
追求技术 永无止境-
编码的妙用——GCTF2017中The X Sanitizer题解
0x00 背景
在今年的Google CTF 2017中,有这样的一道题目The X Sanitizer,大概长这个样子,
我复现了这个环境,感兴趣的同学可以自己来试试,看看能否弹窗~(注意路径哦,和本文后面的解答略有不同)
-
与前端工程师的较量——Chrome调试工具进阶技巧
窥探我的内心是非常危险的事情 ——卫庄 《秦时明月之万里长城》
0x00 前言
无论代码写的好与坏,相信没有哪个程序员愿意主动让别人”欣赏”自己的代码。对于做后端开发的同学这完全不是问题,用户(或者不怀好意的人)很难直接接触到他们所写的代码。而对于搞前端开发的同学来说,这却是一个几乎无解的难题,因为他们所写的JavaScript代码是要在用户浏览器上执行的,总不能把这些代码也藏在服务器上吧?
所以,某些“邪恶”的前端工程师想到,既然一定要把代码给别人看,何不干脆把代码搞的恶心一点,增加别人阅读和分析代码的难度。
于是乎,就有了这样的一篇文章,本文介绍了几种我在实际中用到的Chrome调试技巧,适用于那些想“窥探”前端工程师内心的人,当然也适用于做爬虫的同学们。默认读者已经熟知JavaScript的各种语法和灵活的用法,并且会使用Chrome开发人员工具。
-
安全领域中机器学习的对抗和博弈
0x00 背景
最近,偶然看到一篇论文讲如何利用机器学习从加密的网络流量中识别出恶意软件的网络流量。一开始认为这个价值很高,毕竟现在越来越多的恶意软件都开始使用TLS来躲避安全产品的检测和过滤。但是看完论文之后又有些失望,虽然文章的实验结果非常漂亮,但是有一点治标不治本的感觉,机器学习又被拿来作为一个噱头。
回顾过去的几年,机器学习在安全领域有不少应用,但其处境却一直比较尴尬:一方面,机器学习技术在业内已有不少成功的应用,大量简单的重复性劳动工作可以很好的由机器学习算法解决。但另一方面,面对一些“技术性”较高的工作,机器学习技术却又远远达不到标准。
-
利用硬件防御ROP:HA-CFI技术浅析
0x00 前言
随着漏洞缓解技术的不断发展,常用的一些漏洞利用手段如ROP变得越来越困难,来自ENDGAME的Cody Pierce发表了一篇博客,称ROP的末日已经来临,新的漏洞缓解技术将有效应对未知的漏洞威胁,并宣布他们实现了一种全新利用硬件辅助的控制流完整性的防御机制——HA-CFI
-
从SNE到t-SNE再到LargeVis
0x00 前言
本文谢绝转载,如有需要请联系bindog###outlook.com,###换成@
数据可视化是大数据领域非常倚重的一项技术,但由于业内浮躁的大环境影响,这项技术的地位渐渐有些尴尬。尤其是在诸如态势感知、威胁情报等应用中,简陋的可视化效果太丑,过于华丽的可视化效果只能忽悠忽悠外行,而给内行的感觉就是刻意为之、华而不实。
曾几何时,可视化技术不过是一种数据分析的手段罢了。惭愧的说就是我们的算法还不够智能,必须依靠人类的智慧介入分析。所以,需要通过可视化技术把高维空间中的数据以二维或三维的形式展示给我们这样的低维生物看,展示的效果如何也就直接决定着我们分析的难度。
-
再谈MCMC方法
0x00 前言
最初了解到MCMC方法是因为学习LDA算法。我的博客中也有好几篇文章均涉及到了MCMC方法(Markov Chain Monte Carlo Methods),它是一组用马氏链从随机分布取样的算法。MCMC中第一个MC指的是马尔可夫链,这个就是随机过程课程里面的东西了。第二个MC指的是蒙特卡洛方法。蒙特卡洛方法是一种随机模拟方法。随机模拟的思想由来已久,蒲丰投针就是一个非常典型的应用。
本文先简单介绍MCMC方法,再分别从几个具体场景(模拟分布、求积分、破解密码、最优化算法法)介绍MCMC方法的应用,最后讨论一下MCMC方法与模拟退火算法之间的联系。