研究这个方向的动机，是因为在将神经网络模型应用于实际场景时，它仅仅拥有较高的正确率是不够的，例如在异常检测中、垃圾邮件分类等等场景，那些负类样本也会想尽办法来“欺骗”模型，使模型无法辨别出它为负类。因此我们希望我们的模型能够拥有应对这种攻击的能力。HowtoAttack通过影像辨识的例子来解释如何进行攻击。假设我们已经训练了一个图像的分类器，对于我们下图中输入的图片它能够分辨出来是一只猫；那么我们现在对原始的输入进行一定的扰动，加入干扰项再输入到模型中看看它是否会辨别成其中的东西（图中这种扰动太大了，一般加入的扰动项是人眼无法辨别的）：那么这种攻击又划分为两类：Non-targeted：这一类

在软件开发中所面临的新型威胁已经不仅仅与特定的公司相关，整个软件供应链的上下游都已成为攻击者的目标，因此必须保证每个环节的安全性，因为如果一个环节出现问题，一切都会受到影响。供应链活动包括将原材料、部件和资源转化为完整产品并交付给最终客户的每一步。每个步骤本身都可能是一个复杂的过程，并且有可能导致安全事故。什么是软件供应链攻击？我们在之前的文章中已经清楚地了解到什么是软件供应链。那么我们现在继续深入，将重点放在源代码上。举个例子，你的源代码将存储在私有的Git仓库中，这可能是你的基础设施的一部分，也可能是供应商提供的SaaS，还有编译器工具、基础容器镜像仓库等。而一些依赖项则托管在公开的代码库

在软件开发中所面临的新型威胁已经不仅仅与特定的公司相关，整个软件供应链的上下游都已成为攻击者的目标，因此必须保证每个环节的安全性，因为如果一个环节出现问题，一切都会受到影响。供应链活动包括将原材料、部件和资源转化为完整产品并交付给最终客户的每一步。每个步骤本身都可能是一个复杂的过程，并且有可能导致安全事故。什么是软件供应链攻击？我们在之前的文章中已经清楚地了解到什么是软件供应链。那么我们现在继续深入，将重点放在源代码上。举个例子，你的源代码将存储在私有的Git仓库中，这可能是你的基础设施的一部分，也可能是供应商提供的SaaS，还有编译器工具、基础容器镜像仓库等。而一些依赖项则托管在公开的代码库

 欢迎关注微信公众号专注于网络安全领域，跟踪漏洞动态，深耕互联网，做一个深谙攻防之道的公众号。同时涉足多个领域，是哲学，抑或是文学与艺术，关注金融市场，研究全球市场经济发展方向。 前言本文从漏洞利用到对该客服系统进行渗透测试中遇到的问题做详细解析，并在文章结尾公布黑客针对该系统进行攻击的样本。文章目录0x01 三重唱之漏洞利用0x02 青出于蓝而胜于蓝0x03 渗透测试思路解析0x04 公布黑客攻击样本系统介绍>这套客服系统是基于ThinkPHP开发的，并且经过了几个版本的演变。 1.小马PHP客服系统：这套系统应该是最早的，但是现在资产很少了。2.迎客PHP客服系统：这个应该是某个小团队改改

 欢迎关注微信公众号专注于网络安全领域，跟踪漏洞动态，深耕互联网，做一个深谙攻防之道的公众号。同时涉足多个领域，是哲学，抑或是文学与艺术，关注金融市场，研究全球市场经济发展方向。 前言本文从漏洞利用到对该客服系统进行渗透测试中遇到的问题做详细解析，并在文章结尾公布黑客针对该系统进行攻击的样本。文章目录0x01 三重唱之漏洞利用0x02 青出于蓝而胜于蓝0x03 渗透测试思路解析0x04 公布黑客攻击样本系统介绍>这套客服系统是基于ThinkPHP开发的，并且经过了几个版本的演变。 1.小马PHP客服系统：这套系统应该是最早的，但是现在资产很少了。2.迎客PHP客服系统：这个应该是某个小团队改改

摘要：这篇文章属于系统分析类的文章，通过详细的实验分析了离地攻击（Living-Off-The-Land）的威胁性和流行度，包括APT攻击中的利用及示例代码论证。本文分享自华为云社区《[论文阅读](21)S&P21Survivalism:Living-Off-The-Land经典离地攻击》，作者：eastmount。摘要随着恶意软件检测算法和方法变得越来越复杂（sophisticated），恶意软件作者也采用（adopt）同样复杂的逃避机制（evasionmechansims）来对抗（defeat）它们。民间证据表明离地攻击技术（Living-Off-The-Land，LotL）是许多恶意软件

摘要：这篇文章属于系统分析类的文章，通过详细的实验分析了离地攻击（Living-Off-The-Land）的威胁性和流行度，包括APT攻击中的利用及示例代码论证。本文分享自华为云社区《[论文阅读](21)S&P21Survivalism:Living-Off-The-Land经典离地攻击》，作者：eastmount。摘要随着恶意软件检测算法和方法变得越来越复杂（sophisticated），恶意软件作者也采用（adopt）同样复杂的逃避机制（evasionmechansims）来对抗（defeat）它们。民间证据表明离地攻击技术（Living-Off-The-Land，LotL）是许多恶意软件

摘要：幽灵攻击包括诱使受害者投机性地执行在正确程序执行期间不会发生的操作，并通过侧通道将受害者的机密信息泄露给攻击者。本文分享自华为云社区《幽灵攻击与编译器中的消减方法介绍》，作者：毕昇小助手。引言现代处理器使用分支预测和推测执行来最大限度地提高性能。例如，如果分支的目标取决于正在读取的内存值，CPU将尝试猜测目标并尝试提前执行。当内存值最终到达时，CPU要么丢弃，要么提交推测计算。投机逻辑在执行方式上是不可信的，可以访问受害者的内存和寄存器，并可以执行具有可观副作用的操作。幽灵攻击包括诱使受害者投机性地执行在正确程序执行期间不会发生的操作，并通过侧通道将受害者的机密信息泄露给攻击者。注：幽灵

摘要：幽灵攻击包括诱使受害者投机性地执行在正确程序执行期间不会发生的操作，并通过侧通道将受害者的机密信息泄露给攻击者。本文分享自华为云社区《幽灵攻击与编译器中的消减方法介绍》，作者：毕昇小助手。引言现代处理器使用分支预测和推测执行来最大限度地提高性能。例如，如果分支的目标取决于正在读取的内存值，CPU将尝试猜测目标并尝试提前执行。当内存值最终到达时，CPU要么丢弃，要么提交推测计算。投机逻辑在执行方式上是不可信的，可以访问受害者的内存和寄存器，并可以执行具有可观副作用的操作。幽灵攻击包括诱使受害者投机性地执行在正确程序执行期间不会发生的操作，并通过侧通道将受害者的机密信息泄露给攻击者。注：幽灵

  SQL注入是常见的系统安全问题之一，用户通过特定方式向系统发送SQL脚本，可直接自定义操作系统数据库，如果系统没有对SQL注入进行拦截，那么用户甚至可以直接对数据库进行增删改查等操作。  XSS全称为CrossSiteScript跨站点脚本攻击，和SQL注入类似，都是通过特定方式向系统发送攻击脚本，对系统进行控制和侵害。SQL注入主要以攻击数据库来达到攻击系统的目的，而XSS则是以恶意执行前端脚本来攻击系统。  项目框架中使用mybatis/mybatis-plus数据持久层框架，在使用过程中，已有规避SQL注入的规则和使用方法。但是在实际开发过程中，由于各种原因，开发人员对持久层框架的掌