从某网剧聊聊安全测试的重要性

7月9号爱奇艺推出了一部网剧,由几个小鲜肉主演,原定是电竞题材小说改编的电视剧,改成了网络安全背景的剧情。笔者蹭个热点,聊聊当前安全测试的形式。 我能找到的最早的新华社对网络安全行业人才缺口大的社评是2016年的,至今已有3年多,直到去年,新华社仍有“网络安全人才缺口亟待填补”的评论。随着2017年6月1号颁布了《网络安全法》,安全行业内的一些专业名词越来越多次的暴露在公众视线内,黑产、暗网、BC等等,近一两年,国家各级部门也都在积极举办各类大小的安全对抗或是竞赛,国家对网络安全的重视程度可见一斑。 也许有人会问,网络安全都知道啊,但是跟安全测试有什么关系呢?当然我希望没人问,因为很明显,安全测试离不开安全,并且还是网络安全行业相当重要的一部分。网络安全行业的其他部分先不做介绍,咱们只介绍安全测试有什么重要的。 如果大家身处一些稍有规模的公司就会发现,由于相关网络管理机构部门的一些强制要求,公司必须配合检查,保证自家公司的网站和产品尽量不出现安全漏洞。那么一般公司的安全漏洞如何检出?有些公司会找人专门去做安全测试,每天的任务就是测试待上线的新业务以及巡检已上线的旧业务,有些公司会找专业的乙方安全公司买安全测试业务。 肯定有人会说,这个不是很正常吗,有的小公司就算产品不经过功能测试也能直接上线,那就算不做安全测试也无所谓的。话这么说没错,但是有一个足以导致一家公司停业整顿的致命不同点。如果有功能性bug,最多是体验不好,损失点用户,本质上问题不是很大,青山还在,柴还有得砍。 但是如果有高危漏洞,被黑客入侵,往小了说,服务可能瘫痪导致用户或资金的损失,或是数据丢失和泄露,或是服务资源被黑客恶意利用,或是公司被勒索,导致公司业务无法正常运作或是损失过大。但是往大了说,如果黑客在入侵后在该司对外网站上挂上任何和黄赌毒反动等相关的任何内容,那么就不是公司自己的问题了,根据严重情况决定解决,小则罚款停业整顿,大则直接关停。 所以正因如此,越来越多的公司开始对外招聘专业安全测试人才,或是购买安全公司的安全服务。那么说到现在,安全测试到底需要会些什么呢?具体还是看testfan的安全测试课(点击即可了解详情)的大纲吧,除了大纲之外,讲师也会在课程期间不定期讲解事前防御黑客攻击和事后发现黑客攻击等各种安全行业的其他小技巧,欢迎报班。 作 者:Testfan Covan 出 处:微信公众号:自动化软件测试平台 版权说明:欢迎转载,但必须注明出处,并在文章页面明显位置给出文章链接

kali 之Tor浏览器安装

darknet, 网络安全
1.安装Tor apt-get install tor 2.去tor官网下载一个适合你的系统的Tor。这里kali安装使用Linux。(需要代理连接) https://www.torproject.org/projects/torbrowser.html.en 3.下载之后直接双击解压出来。 4.点击开始,出现错误。 注:kali 为了安全考虑。会禁止使用root用户去执行。 解决方案: 找到解压目录,然后找到 start-tor-browser文件,打开。找到下图位置。然后把0修改1 这里id=0 为root 账号, 然后修改成任意数字不为0即可。 5.然后双击即可访问。(若还出现错误,看一下目录权限。) 安安静静变优秀。 –极梦C from:https://www.cnblogs.com/pangya/p/10266590.html

deeplabv3+二:详细代码解读 data generator 数据生成器

DeepLearning, 人工智能
3+支持三种数据库,voc2012,cityscapes,ade20k, 代码文件夹 -deeplab -datasets -data_generator.py 在开始之前,始终记住,网络模型的输入是非常简单的image,规格化到[-1,1]或[0,1],或者数据扩增(水平翻转,随机裁剪,明暗变化,模糊),以及一个实施了相同数据扩增的label(毕竟需要pixel对上),test的话只需要一个image。是非常简单的数据格式,也许程序员会为了存储的压缩量以及读取处理的速度(指的就是使用tf.example 与 tf.record)写复杂的代码,但是最终的结果始终都是很简单的。 觉得自己一定要先搞清楚tf.example 与tf.record:https://zhuanlan.zhihu.com/p/33223782 目录 数据库分析 代码重点类Dataset 1.方法_parse_function() 2. 方法_preprocess_image() 2.1 input_preprocess的preprocess_image_and_label方法介绍 3.方法 _get_all_files(self): 4.方法 get_one_shot_iterator(self) Class TFRecordDataset 代码使用是在train.py里面: 代码:先放代码,你可以尝试自己看,看得懂就不用往下翻浪费时间了。 # Copyright 2018 The TensorFlow Authors All Rights Reserved. # # Licensed under the Apache License, Version 2.0 (the "License"); # you may not use this file except in compliance with the License. # You may obtain a copy of the License at # # http://www.

吴恩达神经网络和深度学习-学习笔记-29-卷积的基础知识

Life
卷积和边缘检测 垂直边缘检测器的卷积过程 最简单的垂直边缘检测 过滤器fliter在原图像上滚动。 size_输出维度 = size_输入维度 – size_过滤器维度 + 1 在过小的图片上检测时,可能会出现边缘过大的问题。但在大图片上,其可以很好地检测边缘。 区分正边和负边的边缘检测 上面是由明向暗,下面是由暗到明。 水平边缘检测 其他边缘检测的滤波器 Sobel滤波器增加了中间一行元素的权重,这使得结果的鲁棒性更高一些。 Scharr滤波器实际上是一种垂直边缘检测,翻转90°就是水平边缘检测。 随着深度学习的发展,我们学习到,当我们真正想去检测出复杂图像的边缘,我们不一定要去使用那些研究者所使用的9个数值。 我们可以把这9个数字当作9个参数,在之后通过反向传播算法去理解这9个参数。 相比于单纯的垂直和水平检测,这种方法可以找到任何角度的边缘。神经网络可以自动去学习一些低级的特征(比如边缘)。 反向传播可以让神经网络学习任何它所需的3×3滤波器,并在整幅图片上去应用它。 将这9个数都作为参数的思想,已经称为计算机视觉中最有效的思想之一。 Padding 不加Padding直接卷积的缺点 不加Padding的两个缺点: 每次做卷积操作图像都会缩小。 丢掉了图像的边缘位置的许多信息 (如果你注意角落边的像素,这个像素点只被一个输出所触碰或者使用,而中间的像素点就会被许多3×3区域使用) 合理设置Padding的值和过滤器的size,可以使得输出维度等同于输入维度。这样就解决了图像减小的缺点。 而左上角涂绿的格子,影响了输出的4个格子。 Padding的时候,习惯上用0来填充。 Padding多少个像素 通常有两个选择: Valid卷积:不填充(no Padding) Same卷积:使输入输出维度一致(Pad so that output size is the same as the input size)。 习惯上,过滤器的size一般都是奇数的。 原因大概有两个: 采用偶数,就只能使用不对称填充。 奇数维度的过滤器有中心点,有时在计算机视觉里,如果有一个中心像素点会更方便,便于之处滤波器的位置。 卷积步长 卷积中的步长是另一个构建卷积神经网络的基本操作。 [Z]为向下取整,也叫做进行板除(the floor of Z)。 3×3的过滤器必须完全处于图像中或者填充后的图像区域内,才输出相应的结果 卷积为何有效 单个三维过滤器的卷积 上面讨论的都是通道数为1的图像,而面对通道数大于1的图像,情况也会有所不同。 以3通道的RGB图像为例,相比于单通道的图像,数据相当于多了一个维度(从6×6变为6×6×3)。同样,卷积过程中用到的过滤器的通道数要与输入图像一致(对应PyTorch库中Conv2d()的in_channel参数)。 但是最后输出的矩阵的维度仍为1。 具体的卷积过程如下: 过滤器与输入数据立方对应位置的数相乘,再求和,就得到了输出矩阵相应位置的一个数。 上面这张图告诉我们两个事情: 我们可以关注某一个特定的通道,对应的操作就是单独对相应通道的滤波器进行设置。 三维的输入数据立方 卷积 三维同深度过滤器,得到的是二维的输出矩阵。 多个三维过滤器的卷积 这样做的重要性在于:

Mozilla Firefox 将很快获得包含 Tor 模式的扩展组件

原文链接: https://linux.cn/article-11139-1.html?utm_source=weixin 它将通过连接 Tor 网络显著增强隐私功能 作者/来源:安华金和 据外媒报道,Firefox 浏览器可能很快就会收到一个 Tor 模式的附加组件,它将通过连接 Tor 网络显著增强隐私功能。虽然 Mozilla 和 Tor 团队的最终目标是在浏览器上实现完整功能的 Tor 模式,但这需要时间,对此,两个团队在最近举行的一次会议上讨论了其中可能遇到的挑战。 团队成员提出建议,通过开发一个浏览器插件在 Firefox 中启用 Tor 模式,因为这种方法可以给两个团队足够的时间来计划这个新功能所需的工程工作。 由于在默认情况下 Firefox 不会安装这个扩展,所以用户必须要在 Mozilla 的网站手动下载它才能启用 Tor 模式。 它将允许用户体验 Tor 完全集成的样子。另外 Tor 团队指出,它还可以通过计算下载量等来帮助评估用户的兴趣。 跟标准 WebExtension 相比,受优待的插件具有更高的特权,例如它可以调用 XPCOM 函数。一个享受优待的插件需要 Mozilla 或其他机构的签名,但这个提议的想法是让它由 Mozilla 制作并推出,所以这就不是什么问题了。 虽然关于这个附加组件的决定还没有做出,但为 Mozilla 和 Tor 项目工作的开发人员已经就此讨论了几个技术细节。 目前,开发人员认为最好的方法是让插件允许一个专用的 Tor 模式按钮在一个新窗口中启动一个专用的概要文件。 关于何时可以开始公开测试现在还没有消息。 来源:cnBeta.COM 更多资讯 安全研究人员发现中国网贷 App 漏洞泄露大量个人信息 中国近年流行“网贷”,只需要使用手机 App 就可以简单地借到钱,因此非常受欢迎。不过最近有研究人员发现有大量网贷 App 泄漏了个人信息,有几百万用户受影响。来自 SafetyDetective 的研究人员 Anurag Sen发现,在网上有一个达 889GB 的巨型数据库,内有超过460 万使用网贷 App 的装置信息。

笔记本免费无线上网

原文链接: http://www.cnblogs.com/tecsoon/archive/2009/12/11/1621922.html 当我们随身携带笔记本电脑到一个没有网络线缆接入,并且是相当陌生的环境时,那如何才能让自己的笔记本电脑轻松上网呢?难道我们一定要自掏腰包去选购那些价格相当昂贵的各种无线上网卡吗?事实上,我们根本不需要自己买单就能轻松让笔记本电脑连接到Internet网络中,因为很多陌生环境周围都暗藏有相当多的免费无线上网节点,那么我们究竟如何才能找到暗藏在身边的免费无线上网节点呢?下面,本文就为贡献几则寻找免费无线上网节点的技巧,希望这些技巧能给那些经常出差在外、而且需要经常上网的朋友们带来帮助! 当我们出差来到自己不熟悉的办公区域或工作环境,并且确认这些位置布设了无线网络的时候,我们就可以启用安装在笔记本电脑中的NetStumbler程序,来找出那些没有加密的无线上网节点,之后通过合适设置将本地笔记本电脑中的无线网卡接入到合适的无线上网节点上,来开始享受无线上网的乐趣。 有时找到免费的无线上网节点后,我们不知道究竟将笔记本电脑摆放在房间的哪个位置才能确保获得最快的无线冲浪速度?大家知道,无线上网信号是摸不着、看不见的,要想在房间中找到无线上网信号最强的位置,我们还需要借助NetStumbler程序的信号强弱检测功能来找到笔记本最理想的摆放位置。 在寻找信号强弱的位置时,首先将笔记本电脑中的无线网卡与免费的无线上网节点连接好,然后启动NetStumbler程序,并从其后的节点列表中找到笔记本电脑中的无线网卡设备,随后NetStumbler程序就能在程序界面右侧区域以图表形式将无线网卡检测到的信号强度显示出来,其中图表中的绿色反映的是无线上网信号强度,红色反映的是无线上网的噪音程度,从该图表中我们可以清楚地找到究竟哪个位置的无线上网信号更强一些。 小提示:为了提高无线上网的安全性,不少无线上网节点都对无线信号进行了WEP加密,此时使用NetStumbler工具往往无法从这样的无线信号中检测出该无线网络的内部通信结构。不过不要紧,我们可以借助一款名为AiroPeek的工具来对加密的无线信号进行解密,该工具能够对长度不一的WEP加密无线数据流进行空中解码,可以对加密数据包进行数据窃取和分析;对加密的无线信号解码之后,AiroPeek工具能够通过示意图的方式来将加密的无线网络具体拓扑结构显示出来,同时能够详细地将该无线网络中的所有无线上网节点的IP地址信息、数据包发送情况显示出来。 下载地址一: http://www.rayfile.com/zh-cn/files/79cc4326-be52-11de-a43e-0014221b798a/ 下载地址二: http://www.brsbox.com/filebox/down/fc/7763b3c6d15c557300ea0538576ff557 本内容来源于Fs2you中文资源网,收集分享各类网盘资源。 原文地址:http://www.fs2you.org.cn/show.php?tid=14314 转载于:https://www.cnblogs.com/tecsoon/archive/2009/12/11/1621922.html

旧闻系列-编程加密那些事儿

原文链接: https://my.oschina.net/u/1000241/blog/3076901 写在前面 在上大学之前对于加密和密码的理解就是qq的password输入,以为是一串******不让别人看见就是密码了,后来有次上课老师一不小心把话题扯远了,讲起来各种暗网,洋葱头等故事,才理解原来计算机在加密这件事上那么酷,又那么多玩法,后来应该就去网上搜了下关于加密算法的东西。 加密那些事 加密主要分两种:单向加密和双向加密。 单向加密比较简单,双向的稍微复杂一些。 单向加密是通过一种加密方式加密和解密。所以保存好加密算法很重要,一旦泄漏加密方式就失效了。 双向加密 双向加密是密钥有两把,公钥和私钥,公钥可以公开到公网上,私钥是一个于公钥对应的私钥。使用公钥可以解开私钥加密的信息。在双钥体系中,公钥用来加密信息,私钥用来数字签名。 因为任何人都可以生成自己的(公钥,私钥)对,所以为了防止有人散布伪造的公钥骗取信任,就需要一个可靠的第三方机构来生成经过认证的(公钥,私钥)对。 目前,世界上最主要的数字服务认证商是位于美国加州的Verisign公司,它的主要业务就是分发RSA数字证书。 所以双向加密分为三部分:公钥,私钥,数字服务提供商。 数字签名 数字签名是怎么回事呢? 我们可以在传输内容上进行进一步的加密和编码,比如对内容采用Hash函数,生成信件的“摘要”(digest)。 然后使用私钥,对这个“摘要”加密,生成”数字签名”(signature)。 信息接收方取下“数字签名”,再用提供的公钥解密,得到信件的“摘要”。由此证明,这封信确实是信任方发出的,所以“签名”这一步是为了确认接收方和发送方授信。 之后再对信件本身使用Hash函数,将得到的结果,与上一步得到的“摘要”进行对比。如果两者一致,就证明这封信未被修改过。 因为公钥是可以暴露在公网上的,所以公钥很容易被窃取,为了保证公钥的可信,引入了”证书中心”(certificate authority,简称CA),为公钥做认证。 证书中心用自己的私钥,对公钥和一些相关信息一起加密,生成”数字证书”(Digital Certificate)。 拿到数字证书以后,就可以放心了。以后通信过程中,只要在签名的同时,再附上数字证书就行了。 收到消息后用CA的公钥解开数字证书,就可以拿到传输信息的真实的公钥了,然后就能证明”数字签名”是否真的是授信方签的。 Https 我们看下应用”数字证书”的实例:https协议。 首先,客户端向服务器发出加密请求。 服务器用自己的私钥加密网页以后,连同本身的数字证书,一起发送给客户端。 客户端(浏览器)的”证书管理器”,有”受信任的根证书颁发机构”列表。客户端会根据这张列表,查看解开数字证书的公钥是否在列表之内。 如果数字证书记载的网址,与你正在浏览的网址不一致,就说明这张证书可能被冒用,浏览器会发出警告。 如果这张数字证书不是由受信任的机构颁发的,浏览器会发出另一种警告。 如果数字证书是可靠的,客户端就可以使用证书中的服务器公钥,对信息进行加密,然后与服务器交换加密信息。 (完) 转载于:https://my.oschina.net/u/1000241/blog/3076901

《Distilling the Knowledge in a Neural Network》知识蒸馏

未分类
前言 这周做了一篇论文汇报,选的就是这篇论文,看了论文原文和很多博客简单总结如下 这几篇博客对我的帮助很大: 博客1 博客2 看了以上两篇基本就可以理解Hinton的神来之笔 由于是学校的论文汇报,所以我将从作者开始介绍(需要PPT的可以留言): 首先是对作者的介绍 第一位Hinton已经不能再出名了,深度学习的绝对大佬,图灵奖得主…… 第二位是个超级学霸,年轻的时候还是星际争霸欧洲区数一数二的任务,是一个被人工智能耽误的电竞选手(开玩笑的) 第三位是Google AI的负责人,Tensorflow就是在他的领导下开发的,谷歌的第20号员工 具体的信息大家可以自行百度 下面就是对本文的介绍 这两张PPT是Hinton自己的PPT,就讲了当今的在训练网络和使用网络时候的一个矛盾,简单来说training的时候我们总喜欢ensemble(集成),但是这样网络太大,对using的时候很不友好,也就是Hinton说的ensemble are bad at test time所以就有了我们的Distilling 这点单独拎出来说说 这是Hinton原文的Introduction,在开头的时候就做了一个很形象的比喻,引用昆虫记里面的话:“蝴蝶以毛毛虫的形式吃树叶积攒能量逐渐成长,最后变换成蝴蝶这一终极形态来完成繁殖。”(大佬就是大佬,这个比喻十分形象,具体描述请看下面PPT内容?) Main idea 这张是Hinton的PPT,想要将一个复杂模型的knowledge ,transfer到一个简单的模型,这也正是蒸馏所做的事情。 下面是整个网络的结构,可以注意到,这里最重要的就是多出来的这个soft target,那么我们现在关心的问题就变为如何得到这个soft target Step1 使用一个温度T训练好一个复杂的网络,这里的T是一个超参数 Step2 将你的训练数据塞入使用T训练好的网络,那么这个网络的output就是这里的soft target 然后的问题就是如何使用soft target Step3 将这个soft target 和 hard target(本省的标签) 联合起来,训练你的simple model,注意这里训练时候要使用相同的T Step4 现在你已经得到了一个训练好的simple model 现在你需要做的就是将原来的T设为1大功告成 下面是测试情况 下面这张为这位老哥的内容

暗网竟成比特币最大用户? 上半年 5.15 亿美元被用于非法活动

来源 | Cointelegraph 译者 | Guoxi 出品 | 区块链大本营(blockchain_camp) 我们都知道,比特币因保护隐私而生,兴起于注重隐私的密码极客之中。比特币的隐私保护在便利了使用者的同时,也给许多犯罪分子留下可乘之机。 对于那些在暗网上销售违禁物品的犯罪分子而言,比特币等加密货币填补了他们在支付手段上的空白,以至于比特币被用于非法活动的新闻层出不穷,给人一种比特币直接于非法活动挂钩的错觉。 不过,这些新闻并不是空穴来风,据不完全统计,今年上半年已有价值 5.15 亿美元的比特币被用于非法活动。 根据彭博社于 7 月 1 日发布的一份报告,区块链数据分析公司 Chainanalysis 最近的研究表明,今年被用于非法活动的比特币价值可能会达到创纪录的 10 亿美元,这个预测还考虑到了随着当前对比特币的监管越来越严格,非法活动交易在比特币交易中的占比不断下降。 报告指出,今年上半年被用于非法活动的比特币价值约为 5.15 亿美元,同时报告中预测,到今年年底,这一数字将会增加一倍,达到 10 亿美元。 但不能否认的是,在当前比特币的交易活动中,非法活动的占比正在逐渐下降。Chananalysis 公司的首席执行官 Hannah Curtis 表示,今年只有 1% 的比特币交易被用于非法活动,较 2012 年 7% 的占比下降了很多。 这些被用于非法活动的 5.15 亿美元的比特币都指向了暗网市场。暗网是深网的一小部分,深网是互联网的一小部分,只是它们不会出现在百度、谷歌这样的搜索引擎之中。 有人将整个互联网比作冰山,我们每天访问的网络只是露在水面上的冰山一角,而水面之下就是暗网。 据报道,比特币交易最频繁的最大的暗网市场莫过于 “Hydra”。暗网市场中充斥着军火、毒品、色情、诈骗等非法活动,这些见不得人的生意使得它们通常都会把加密货币中的硬通货比特币作为支付手段的首选,而主打隐私保护的门罗币(XRM)排在了第二位。 Hydra上公开售卖的违禁品 就比如说,正如区块链数字媒体 Cointelegraph 在 4 月份所报道的那样,暗网市场 NextDayGear 主要销售注射和口服类固醇,安定片 Xanax,Valium 以及伟哥,其两名运营者被捕后对法院做出的销售类固醇、违禁药品、洗钱等指控表示认罪。 不过,加密货币总算第一次在违法犯罪中的使用率有所降低,对于加密圈来说,这是好事。但这种情况会继续延续,还是只是昙花一现?这一切都不得而知。 热 文 推 荐 ☞中国第一程序员,微软得不到他就要毁了他! ☞计算机密码发明者去世!曾获图灵奖、并启蒙 Unix 诞生! ☞“10 倍工程师”现实吗?不存在的! ☞北邮博导孙松林:5G 新物种开启新时代 ☞344亿天价罚单也救不了Libra!