绿盟科技博客 -- IT技术博客大学习 -- 共学习共进步！

• IP团伙行为分析(更新中文版报告)

我们注意到，“惯犯承担了约40％的攻击事件，其中僵尸网络活动和DDoS攻击是惯犯们的主流攻击方式。”由于僵尸网络活动和DDoS攻击通常以协作方式从多个来源发起，因此多个惯犯以群体方式勾结“作案”就毫不奇怪了。我们将这样的群体称为“IP团伙”（IP Chain-Gang）。在本报告中，我们基于绿盟科技自2017年以来所搜集的DDoS攻击数据，识别了多个IP团伙并研究了他们的团伙行为。采用这种研究方法背后的逻辑是：既然各IP团伙均由某一个或一组攻击控制者控制，那么同一个团伙在不同的攻击中必然会表现出相似的行为。我们希望，通过研究团伙的历史行为给该团伙建立一个“团伙画像”，以便更准确地描述其背后的攻击控制者的行为方式、偏好的攻击方法和特征，以便更有效地防御这些团伙未来可能发起的攻击，防患于未然。

• 从php源码分析mkdir()函数

本文通过php中mkdir()函数在不同环境下表现结果不一致的现象，分析了php内核对mkdir()函数的实现，引申出php中线程安全与非线程安全两个重要的机制。

• 手把手教你CSRF防护

CSRF（Cross-site request forgecy）:跨站请求伪造，是一种常见的网络攻击方式。究竟什么是CSRF以及如何防御呢？

• Petya和NotPetya的关键技术性区别

有关Petya和NotPetya的文章这段时间已经铺天盖地了。大家都知道Petya和NotPetya是利用了永恒之蓝的漏洞，修改用户主引导记录（MBR），从而实现文件的加密。可是它们之间的具体区别是什么呢？本篇文章着重从技术角度分析了Petya和NotPetya的关键不同点。

• 恶意邮件不完全分类及防范指南

邮件是我们日常工作中进行交流、获取工作信息或文件的最重要通道，由于凡是知道你邮箱的人都可以给你发邮件，因此这个通道很早就被不良企图者盯上，用于实施一些恶意行为。邮件是社工或APT的重要入口或着手点，这也已经成为网络安全行业的共识。那么，我们日常可能会接触到哪些恶意邮件，如何防范呢？这里总结了一些常见的恶意邮件类型以及一些极其简单实用的建议，给大家日常参考。

• 浅谈Web安全验证码

为防止服务器端的资源被客户端的计算机程序滥用或攻击，服务器需要区分当前用户是计算机还是人类，一般在网站的关键操作位置都会采用验证码技术来区分。围绕验证码展开的攻防技术在Web安全中有着重要地位，本文将从验证码的工作原理出发，介绍验证码实现上容易产生的问题，并对其攻防技术现状和未来做一个简要介绍。

• 信息泄露之拖库撞库思考（1）

某网站被曝“信息泄露”事件，使拖库、撞库这两个黑产中的专有术语再次呈现于公众舆论面前。本文从攻击实现角度，对拖库、撞库攻击进行简单分析；从安全防护设计、建设运维角度，给出针对这两种攻击实践总结的安全防御40条策略。希望本文能够抛砖引玉，给互联网网站开发、设计、运维的IT工作人员扩展思路，从而提高互联网网站防范信息泄露的综合安全能力。

• 逻辑回归算法学习与思考

本文是作者对于逻辑回归算法的学习和思考，主要介绍：逻辑回归的算法介绍、逻辑回归的数学原理、逻辑回归的实际应用、逻辑回归的总结以及网络安全场景预测，欢迎大家参考讨论。

• 浅析Windows的访问权限检查机制

在操作系统中，当我们提到安全的时候，意味着有一些资源需要被保护，在Windows操作系统中，这些被保护的资源大多以对象(Object)的形式存在，对象是对资源的一种抽象。每个对象都可以拥有自己的安全描述符(Security Descriptor)，用来描述它能够被谁、以何种方式而访问。

• 小心浏览器插件窃取你的隐私

浏览器插件已经成为了浏览器的必备品，但是市场上的插件也良莠不齐，甚至部分插件切换用户隐私，如浏览器的历史记录。笔者就遇到了这样一个插件，就是著名的手势插件：crxMouse Chrome Gestures，更可气的是已经用了这个插件一年多了。

• Redis未授权配合SSH免密码登录漏洞及修复

本文作者带大家了解什么是Redis，并且了解Redisc客户端redis-cli、Redis Desktop Manager、Redis的常用的Key操作命令、配置命令，讲解Redis未授权利用配合SSH免密码登录，并且解决利用Redis写公钥依然无法登录的情况以及相关的修复方案，欢迎讨论。

• SlemBunk木马浅析

SlemBunk最初由FireEye发现，后来其他一些安全公司也相继发现，作者有幸拿到该样本，分析该木马发现其设计精妙绝伦，可在此基础上做进一步演变。该样本伪造成其他一些常用android应用，欺骗用户输入信用卡相关敏感信息，下面我们就一步步分析。

• 12行代码的浏览器DoS攻击分析及防御

有一段12行的JavaScript代码，可以让firefox、chrome、safari浏览器崩溃，而且还能让iphone重启、安卓闪退，本文作者对于该12行代码进行了分析解读并且提出了相应的防御办法，欢迎大家一同探讨。

• 看见CSRF我不怕不怕了

你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账……造成的问题包括：个人隐私泄露以及财产安全。

• Joomla反序列化漏洞的查漏补缺

2015年12月15日国内各大安全厂商都从国外站点上关注到一条关于Joomla远程代码执行漏洞的内容，原文可以看这里。之后开启了一轮漏洞分析大战，比快，比准，比嘲讽。而作为对于PHP SESSION序列化机制不怎么了解的我，就兴奋的阅读着各家的分析来学习这个漏洞的原理。虽然这些分析文章帮助我重现了这个漏洞的利用，并且貌似解释清楚了原理，但是，有一个问题我还是没有在这些文章中找出。

• Burpsuite插件开发之RSA加解密

burpsuite是一款非常好用的抓包工具，我自己也是重度用户，所以就上手了burpsuite的插件接口开发，本文主要记录了一个解密请求包，插入payload，再加密的插件开发过程，插件应用场景主要是用于通过分析apk的实现。这里做探讨的目的只是方便安全测试人员的个人学习，或大家渗透测试使用。

• JAVA序列化和反序列化及漏洞补救

不久前，网络安全人员再一次在黑产面前遭到重挫，Joomla曝高危0Day漏洞，无需用户登陆就能触发。Joomla漏洞在官方发布升级版和补丁之前，已经在各种地下黑色产业链中流传了一段时间，恐怕并且已经有不少网站被黑客拿下。这个恶意代码的进入点是用户代理字符串，这是每个浏览器都在广而告之的内容：让浏览器知道用户的技术结构从而为站点提供最佳或最合适的版本。很显然这个字符串存储于Joomla数据库中，但并没有被清洁处理以检测恶意代码。攻击者能够通过能够播报虚假用户代理字符串的方式利用特殊app和脚本拉力轻易编制一个定制化字符串并将恶意代码附着，这个安全隐患是在PHP中session是通过序列化存储的。

• 内存寻址原理

在做网络安全事件分析的时候，都会遇到内存寻址的知识，例如上次跟大家分享的《空指针漏洞防护技术》，就涉及到非法访问内存地址的问题。如果这个坎儿迈不过去，你就会迷失在代码中，更无从分析了。今天绿盟科技的安全技术专家就讲讲这个内存寻址的原理，文章分为上下两篇《内存寻址原理》及《内存寻址方式》。

• 用GDB排查Python程序故障

某Team在用Python开发一些代码，涉及子进程以及设法消除僵尸进程的需求。实践中他们碰上Python程序非预期退出的现象。最初他们决定用GDB调试Python解释器，查看exit()的源头。我听了之后，觉得这个问题应该用别的调试思路。帮他们排查这次程序故障时，除去原始问题，还衍生了其他问题。这次的问题相比西安研发中心曾经碰上的Python信号处理问题，有不少基础知识、先验知识是共用的，此处不做再普及，感兴趣的同学可以翻看我以前发过的文章。下文是一次具体的调试、分析记录。为了简化现场、方便调试，已将原始问题、衍生问题浓缩成DebugPythonWithGDB_6.py、DebugPythonWithGDB_7.py。

• 学习手册：浅析DDoS的攻击及防御

现如今，信息技术的发展为人们带来了诸多便利，无论是个人社交行为，还是商业活动都开始离不开网络了。但是网际空间带来了机遇的同时，也带来了威胁，其中DDoS就是最具破坏力的攻击，通过这些年的不断发展，它已经成为不同组织和个人的攻击，用于网络中的勒索、报复，甚至网络战争。