网络安全
文章平均质量分 96
本专栏专为信息安全学习过程的一些博客而建。
IronmanJay
十年饮冰,难凉热血。
展开
-
kAFL部署、使用与原理分析
本博客的主要内容为kAFL的部署、使用与原理分析。本博文内容较长,因为涵盖了kAFL的几乎全部内容,从部署的详细过程到如何使用kAFL对目标程序进行Fuzz测试,以及对kAFL进行漏洞检测的原理分析,相信认真读完本博文,各位读者一定会对kAFL有更深的了解。以下就是本篇博客的全部内容了。原创 2024-09-13 10:01:11 · 1042 阅读 · 0 评论 -
TriforceAFL部署、使用与原理分析
本博客的主要内容为TriforceAFL的部署、使用与原理分析。本博文内容较长,因为涵盖了TriforceAFL的几乎全部内容,从部署的详细过程到如何使用TriforceAFL对操作系统的系统调用进行Fuzz测试,以及对TriforceAFL进行漏洞检测的原理分析,相信认真读完本博文,各位读者一定会对TriforceAFL有更深的了解。以下就是本篇博客的全部内容了。原创 2024-09-06 09:36:17 · 696 阅读 · 0 评论 -
Metasploit部署、使用与原理分析
本博客的主要内容为Metasploit的部署、使用与原理分析。本博文内容较长,因为涵盖了Metasploit的几乎全部内容,从部署的详细过程到如何使用Metasploit进行渗透测试,以及对Metasploit进行渗透测试的原理分析,相信认真读完本博文,各位读者一定会对Metasploit有更深的了解。以下就是本篇博客的全部内容了。原创 2024-08-22 11:07:13 · 815 阅读 · 0 评论 -
Bochspwn部署、使用与原理分析
本博客的主要内容为Bochspwn的部署、使用与原理分析。本博文内容较长,因为涵盖了Bochspwn的几乎全部内容,从部署的详细过程到如何使用Bochspwn对Linux内核的Double-Fetch漏洞进行检测,以及对Bochspwn进行漏洞检测的原理分析,相信认真读完本博文,各位读者一定会对Bochspwn有更深的了解。以下就是本篇博客的全部内容了。原创 2024-08-11 21:32:15 · 364 阅读 · 0 评论 -
KernelFuzzer部署、使用与原理分析
本博客的主要内容为KernelFuzzer的部署、使用与原理分析。本博文内容较长,因为涵盖了KernelFuzzer的几乎全部内容,从部署的详细过程到如何使用KernelFuzzer对操作系统的系统调用进行Fuzz测试,以及对KernelFuzzer进行漏洞检测的原理分析,相信认真读完本博文,各位读者一定会对KernelFuzzer有更深的了解。以下就是本篇博客的全部内容了。原创 2024-06-18 15:34:19 · 393 阅读 · 0 评论 -
【CVE-2021-3156】——漏洞复现、原理分析以及漏洞修复
2021年01月27日,RedHat官方发布了Sudo缓冲区/栈溢出漏洞的风险通告,普通用户可以通过利用此漏洞,而无需进行身份验证,成功获取Root权限。原创 2024-06-01 21:43:54 · 3253 阅读 · 0 评论 -
【CVE-2021-3493】——漏洞复现、原理分析以及漏洞修复
Linux内核中的overlayfs实现未能在用户命名空间方面正确验证对底层文件系统中文件设置文件能力的操作。由于未特权用户命名空间与Ubuntu内核中允许未特权的overlay挂载的补丁的组合,攻击者可以利用这一漏洞获取提升的权限。原创 2024-05-24 09:34:18 · 1314 阅读 · 0 评论 -
【CVE-2024-3094】——漏洞复现、原理分析以及漏洞修复
XZ-Utils是Linux、Unix等POSIX兼容系统中广泛用于处理.xz文件的套件,包含liblzma、xz等组件,已集成在debian、ubuntu、centos等发行版仓库中。2024年3月29日,安全社区披露其存在CVE-2024-3094 XZ-Utils 5.6.0-5.6.1版本后门风险。该后门存在于XZ Utils的5.6.0和5.6.1版本中,由于SSH底层依赖了liblzma等,攻击者可能利用这一漏洞在受影响的系统上绕过SSH的认证获得未授权访问权限,执行任意代码。原创 2024-05-17 14:22:48 · 4977 阅读 · 4 评论 -
论文中文翻译——kAFL Hardware-Assisted Feedback Fuzzing for OS Kernels
此博客为kAFL Hardware-Assisted Feedback Fuzzing for OS Kernels论文的中文翻译,本篇论文详细讨论了如何利用QEMU和KVM结合硬件对操作系统内核进行模拟反馈的Fuzz。这篇论文我个人觉得非常难,我读了两遍仍不是很懂,看来需要花费更多的时间和精力来阅读本篇论文,这么喜欢本篇论文的原因就是写的真的很好,从另一种角度提供了对操作系统内核Fuzz的方法。目前已经将kAFL(本篇论文介绍的工具)部署到本地了,运行良好,不过kAFL的源代码还没有深入阅读,后面的时间要原创 2023-06-07 00:26:30 · 888 阅读 · 0 评论 -
论文阅读笔记——PathAFL:Path-Coverage Assisted Fuzzing
此博客为PathAFL:Path-Coverage Assisted Fuzzing论文的阅读笔记,本篇论文提出了一种新的跟踪执行路径的方法、路径过滤算法和追踪执行路径的方法,以提高Fuzz的准确性以及Fuzz性能。本文将会从解决的问题和目标、技术路线、达到的效果和结论四个角度来分析本篇论文。以下就是本文的全部内容。原创 2024-02-24 17:46:28 · 1264 阅读 · 0 评论 -
Trinity部署、使用与原理分析
本博客的主要内容为Trinity的部署、使用与原理分析。本博文内容较长,因为涵盖了Trinity的几乎全部内容,从部署的详细过程到如何使用Trinity对操作系统的系统调用进行Fuzz测试,以及对Trinity进行漏洞检测的原理分析,相信认真读完本博文,各位读者一定会对Trinity有更深的了解。以下就是本篇博客的全部内容了。原创 2024-05-15 15:37:22 · 492 阅读 · 0 评论 -
OpenVAS部署、使用与原理分析
本博客的主要内容为OpenVAS的部署、使用与原理分析。本博文内容较长,因为涵盖了OpenVAS的几乎全部内容,从部署的详细过程到如何使用OpenVAS对靶机进行测试,以及对OpenVAS进行漏洞检测的原理分析吗,相信认真读完本博文,各位读者一定会对OpenVAS有更深的了解。原创 2024-04-29 14:44:38 · 1631 阅读 · 3 评论 -
缓冲区溢出漏洞学习总结(漏洞原理及其利用方法)
本文将会介绍关于缓冲区溢出类型漏洞的原理及其利用方法。因为缓冲区溢出漏洞是一个大类,这其中包含了很多种小类漏洞,故笔者专写下此篇博客,以记录自己在学习和内存相关的内容时的知识点记录以及心得体会。以下就是本篇博文的全部内容。原创 2024-03-29 10:24:55 · 3647 阅读 · 2 评论 -
论文中文翻译——Double-Fetch情况如何演变为Double-Fetch漏洞:Linux内核中的双重获取研究
此博客为How Double-Fetch Situations turn into Double-Fetch Vulnerabilities A Study of Double Fetches in the Linux Kernel论文的中文翻译,本篇论文详细讨论了Linux系统内核中的Double-Fetch漏洞,并提出了一种Double-Fetch漏洞检测方法,基于此方法设计出了三种工具,经过实验发现这三种工具的检测效果都很不错,这也证明了本实验所提出的方法的有效性。原创 2023-05-18 09:59:58 · 576 阅读 · 0 评论 -
论文中文翻译——VulCNN An Image-inspired Scalable Vulnerability Detection System
此博客为VulCNN An Image-inspired Scalable Vulnerability Detection System论文的中文翻译,本篇论文将漏洞检测与图分类联系到一起,并结合神经网络进行漏洞检测,思路比较新奇,效果看来也还不错,是一篇值得一读的论文!由于深度学习(DL)可以自动从源代码中学习特征,因此它已被广泛用于检测源代码漏洞。为了实现可扩展的漏洞扫描,一些先前的研究打算将源代码直接处理为文本。为了实现准确的漏洞检测,其他方法考虑将程序语义提取为图表示,并使用它们来检测漏洞。原创 2023-05-18 09:40:32 · 1006 阅读 · 0 评论 -
论文中文翻译——Vulnerability Dataset Construction Methods Applied To Vulnerability Detection A Survey
此博客为Vulnerability Dataset Construction Methods Applied To Vulnerability Detection A Survey论文的中文翻译,本篇作为一篇综述性文章,主要讲述了目前漏洞检测数据集的一些发展和一些看法。文章整体读起来不难,值得一看。下面就是本篇翻译的全部内容。原创 2022-12-13 23:06:18 · 554 阅读 · 0 评论 -
论文阅读笔记——Vulnerability Dataset Construction Methods Applied To Vulnerability Detection A Survey
本篇文章也是一篇综述性文章,主要论述了当前用于基于深度学习的漏洞检测的漏洞数据集的一些发展现状以及研究方向,不错的文章,值得一读。下面就是本篇论文的精读笔记!原创 2022-12-14 12:09:44 · 1000 阅读 · 0 评论 -
论文阅读笔记——Systematic Analysis of Deep Learning Model for Vulnerable Code Detection
这篇文章不难,主要就是总结了当下的一些相关技术以及相关数据集,也算是之前学习的一个总结。下面就是本篇论文的全部阅读笔记!原创 2022-12-05 10:33:31 · 213 阅读 · 0 评论 -
论文中文翻译——Systematic Analysis of Deep Learning Model for Vulnerable Code Detection
此博客为Systematic Analysis of Deep Learning Model for Vulnerable Code Detection论文的中文翻译,本篇论文内容不多,是一篇综述性论文,总结了当下关于深度学习应用于漏洞检测的一些框架和所使用的数据集等,总之是一篇还可以的论文。下面就是本篇论文的全部翻译。原创 2022-12-04 23:28:05 · 821 阅读 · 1 评论 -
论文阅读笔记——SySeVR A Framework for Using Deep Learning to Detect Software Vulnerabilities
这应该是到目前为止我读过的最难的一篇文章了,断断续续读了半个多月,里面提出的想法真的很新颖,后面争取复现一下代码,下面是我读这篇文章做的笔记!原创 2022-11-30 10:13:43 · 1965 阅读 · 4 评论 -
论文中文翻译——SySeVR A Framework for Using Deep Learning to Detect Software Vulnerabilities
此博客为SySeVR A Framework for Using Deep Learning to Detect Software Vulnerabilities论文的中文翻译,本篇论文的翻译真的耗费了我的好大心血,其中有些专业名词的翻译一直感觉翻译不到点上,所以干脆就用的原文,而且整篇文章真的很长,也不好理解,断断续续翻译了一个多星期,但是整篇文章的质量是相当不错的。下面就是整篇文章的翻译内容!原创 2022-11-29 11:40:34 · 1440 阅读 · 8 评论 -
论文阅读笔记——基于CNN-GAP可解释性模型的软件源码漏洞检测方法
本文是基于CNN-GAP可解释性模型的软件源码漏洞检测方法论文的阅读笔记,这是读到目前论文中唯一一篇中文论文,内容我个人觉得非常不错,很有借鉴价值,尤其是文中提出的关于源码漏洞的可解释性可视化分析的方法,对学习研究有很大的帮助。下面就随我一起好好欣赏这篇文章!原创 2022-11-13 15:33:31 · 1686 阅读 · 1 评论 -
论文阅读笔记——A deep tree-based model for software defect prediction
本文是A deep tree-based model for software defect prediction论文的阅读笔记,此论文使用的仍然是LSTM网络,但是其又利用了代码的AST关系树,可以更好地捕获源码中的语义关系,为缺陷预测提高准确性与说服力。本篇论文仍然是不可多得的一篇好文,给我们提供了一种对于缺陷预测的新思路和新方法。下面就是本片论文的全部核心总结内容!原创 2022-11-06 14:49:05 · 1365 阅读 · 1 评论 -
论文中文翻译——A deep tree-based model for software defect prediction
此博客为A deep tree-based model for software defect prediction论文的中文翻译,其中有些专业名词的翻译还是不够准确,感觉怎么翻译都翻译不出作者本意来,所以干脆就没翻译某些专业名词,但是不影响文章的阅读,本论文也是非常有水平的一篇论文,提出了非常新颖的漏洞检测的方法,非常值得一读!原创 2022-11-06 14:27:51 · 604 阅读 · 3 评论 -
论文阅读笔记——Automated Vulnerability Detection in Source Code Using Deep Representation Learning
本文是Automated Vulnerability Detection in Source Code Using Deep Representation Learning论文的阅读笔记,其中对于一些本文没有解析特别清楚或者默认没有解释的内容进行了自己的一些总结和理解。并且将论文的内容精炼,将其中的方法总结好,方便阅读和学习。在这篇论文里又能学习到新的漏洞检测的方法,和上一篇又有所不同。本文主要讲述了如何将源代码词法化以及使用卷积神经网络和递归神经网络配合随机森林对漏洞进行判断,对于漏洞检测的学习有很大的帮原创 2022-10-27 21:58:59 · 1024 阅读 · 2 评论 -
论文中文翻译——Automated Vulnerability Detection in Source Code Using Deep Representation Learning
每年都会发现越来越多的软件漏洞,无论是公开报告还是在内部专有代码中发现。这些漏洞可能造成严重的开发风险,并导致系统危害、信息泄漏或拒绝服务。我们利用丰富的C和C++开源代码,利用机器学习开发了一个大型功能级漏洞检测系统。为了补充现有的标记漏洞数据集,我们编译了一个包含数百万开源函数的庞大数据集,并用三个不同静态分析器精心挑选的结果标记它,这些结果表明存在潜在漏洞。标记的数据集位于:https://osf.io/d45bw/。使用这些数据集,我们开发了一个基于深度特征表示学习的快速可扩展漏洞检测工具,该工具可原创 2022-10-23 20:27:11 · 946 阅读 · 0 评论 -
论文阅读笔记——VulDeePecker: A Deep Learning-Based System for Vulnerability Detection
本博客内容为VulDeePecker: A Deep Learning-Based System for Vulnerability Detection论文的精读阅读笔记,对于其中的概念以及方法,都给出了自己的理解,并针对一些不清楚或者没接触过的知识点,都做出了详细注解。此论文为第一篇使用深度学习用于漏洞检测的论文,提出了一些关于使用深度学习应用于漏洞检测的一些指导原则,并给出了基于深度学习的漏洞检测系统的开发过程以及用于评测漏洞检测系统有效性的数据集。这对后面关于漏洞检测的学习有极强的指导意义。原创 2022-10-17 11:01:22 · 1952 阅读 · 10 评论 -
论文中文翻译——VulDeePecker: A Deep Learning-Based System for Vulnerability Detection
VulDeePecker:基于深度学习的漏洞检测系统软件漏洞的自动检测是一个重要的研究课题。然而,该问题的现有解决方案依赖于人类专家来定义特征,并且往往遗漏了许多漏洞(即导致高假阴性率)。在本文中,我们发起了使用基于深度学习的漏洞检测的研究,将人类专家从手动定义特征的繁琐和主观任务中解脱出来。由于深度学习的动机是处理与漏洞检测问题截然不同的问题,因此我们需要一些指导原则来将深度学习应用于漏洞检测。特别是,我们需要找到适合深度学习的软件程序的表示。为此,我们建议使用代码小工具表示程序,然后将其转换为向量,其原创 2022-10-16 23:53:38 · 1604 阅读 · 5 评论 -
基于MatLab实现LSB(最低有效位)算法完成图片数字水印隐写功能
空域图像水印技术是指在图像的空间域中嵌入水印的技术。 最简单和有代表性的方案就是用秘密信息代替图像的最低有效位(LSB)或者多个位平面的所有比特的算法。 LSB(Least Significant Bits)算法:将秘密信息嵌入到载体图像像素值的最低有效位。如下图,我们可以将其每八位的最后一位替换成我们的秘密信息,也就完成了信息隐写的过程。原创 2022-09-18 16:34:34 · 11421 阅读 · 28 评论