网络安全日报 2025年11月10日
1、沙虫组织使用擦除器攻击乌克兰粮食行业
https://www.bleepingcomputer.com/news/security/sandworm-hackers-use-data-wipers-to-disrupt-ukraines-grain-sector/ 俄罗斯国家支持的黑客组织Sandworm于2025年6月和9月针对乌克兰政府机构、能源、物流及粮食行业部署多个数据擦除恶意软件变种,其中粮食行业成为新兴攻击目标。考虑到粮食出口是乌克兰主要收入来源,此举意在削弱其战时经济。该组织延续了自2022年以来针对乌克兰的破坏性行动,使用数据擦除器彻底销毁数字信息,而非勒索软件模式。部分攻击由UAC-0099威胁行为体获取初始访
2、恶意VS Code扩展程序内置勒索软件功能
https://secureannex.com/blog/ransomvibe/ Visual Studio Code扩展市场出现首个由AI生成的勒索软件扩展"susvsex"。该恶意扩展由"suspublisher18"发布,尽管名称与描述极具可疑性,仍通过审核上线。其利用GitHub私有仓库作为命令与控制通道,加密特定目录文件并外泄数据。安全分析显示,代码带有明显Vibe生成痕迹,且开发失误导致C2服务器代码与解密工具一同被打包,通过硬编码的GitHub PAT令牌可溯源至巴库地区的开发者。目前扩展仅针对测试目录,但可通过更新或远程指令扩大攻击范围。
3、思科UCCX漏洞允许攻击者以root权限执行命令
https://nvd.nist.gov/vuln/detail/CVE-2025-20354 思科近日发布安全更新,修复其统一联络中心快速版(UCCX)软件中的漏洞。该漏洞编号为CVE-2025-20354,允许未经身份验证的攻击者通过Java远程方法调用(RMI)远程执行任意命令,并获得root权限。此外,思科还修复了Cisco UCCX的Contact Center Express(CCX)编辑器中的另一个严重漏洞,攻击者能够绕过身份验证并创建具有管理员权限的任意脚本。IT管理员被建议尽快升级到指定的修复版本,以避免潜在的安全风险。
4、间谍软件LandFall利用三星漏洞攻击安卓设备
https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/ 研究人员发布了一项重要发现,揭示了一种名为“LANDFALL”的新型安卓间谍软件家族。该间谍软件针对中东地区的三星Galaxy设备,利用了三星图像处理库中的一个零日漏洞(CVE-2025-21042)进行传播,嵌入在恶意的DNG图像文件中。LANDFALL具备强大的监控能力,包括麦克风录音、位置追踪以及敏感数据的收集。尽管该漏洞已于2025年4月被修复,研究显示该间谍软件在2024年中便已活跃,并利用多个零日漏洞进行攻击。
5、研究人员发现隐藏逻辑炸弹的恶意NuGet包
https://socket.dev/blog/9-malicious-nuget-packages-deliver-time-delayed-destructive-payloads 研究人员发现一组恶意NuGet包,这些包由用户“shanhai666”在2023至2024年间发布,包含延迟激活的恶意代码,计划在2027年和2028年触发。共有九个恶意软件包被报告,下载次数达到9488次,其中“Sharp7Extend”特别危险,针对工业PLC系统,具备随机终止进程和静默写入故障的双重破坏机制。所有九个包均已从NuGet移除。研究表明,攻击者利用了C#扩展方法的特性,在不修改原始代码的前提
6、QNAP修复七个已曝光NAS零日漏洞
https://www.bleepingcomputer.com/news/security/qnap-fixes-seven-nas-zero-day-vulnerabilities-exploited-at-pwn2own/ QNAP公司发布公告,宣布已修复七个零日漏洞,这些漏洞在Pwn2Own Ireland 2025竞赛中被安全研究人员成功利用,影响了公司的网络附加存储(NAS)设备。漏洞涉及其QTS和QuTS hero操作系统及多个软件,包括Hyper Data Protector、Malware Remover和HBS 3 Hybrid Backup Sync。为了提高安全性,Q
7、GlassWorm卷土重来攻击多国机构
https://www.koi.ai/blog/glassworm-returns-new-wave-openvsx-malware-expose-attacker-infrastructure 安全团队检测到GlassWorm蠕虫再度爆发,三个VS Code扩展遭感染,新增感染近万例。该蠕虫利用隐形Unicode字符隐藏恶意代码,通过Solana区块链更新C2指令,基础设施沿用上月配置仍持续运作。研究人员意外获取攻击者服务器数据,发现受害者遍布欧美亚及南美,甚至包括中东某重要政府机构。更严重的是,该蠕虫已蔓延至GitHub仓库,通过AI生成提交隐藏载荷并窃取凭证自我传播。服务器日志显示攻击
8、FBI追查Archive[.]ph背后匿名运营者
https://hackread.com/fbi-wants-to-know-who-runs-archive-ph/ 美国联邦调查局(FBI)于2025年11月8日宣布,正在对存档网站Archive.ph及其相关域名的匿名运营者进行调查。FBI已向域名注册商Tucows发出联邦传票,要求其提供大量与该网站所有者相关的账单和通信记录,以协助正在进行的刑事调查。尽管该传票未指明任何具体罪行,但其内容涉及客户信息和互联网会话日志,显示了FBI对该网站背后运营者的严查态度。自2012年上线以来,Archive.ph因提供绕过付费墙的服务而受到关注,其运营者身份一直成谜。
9、俄罗斯公民承认参与Yanluowang勒索攻击
https://cyberscoop.com/russian-aleksei-volkov-yanluowang-ransomware/ 一名25岁的俄罗斯公民,承认参与了针对美国企业的Yanluowang勒索软件攻击。根据法庭记录,沃尔科夫在2021年7月至2022年11月期间,作为“初始访问经纪人”参与了多起攻击,导致受害者支付共计150万美元的赎金。检方指出,沃尔科夫利用企业网络中的漏洞,联手未具名同谋进行攻击,实施了包括数据加密和骚扰在内的多重恶劣行为。受害者因攻击无法正常运营,有些甚至被迫暂停业务。联邦调查局(FBI)通过区块链技术追踪与沃尔科夫相关的加密货币交易,从而确认了其身份
10、研究人员成功破解Midnight勒索软件
https://hackread.com/norton-midnight-ransomware-free-decryptor/ 威胁研究团队宣布,他们成功破解了一种新型勒索软件——Midnight,并发布免费的解密器,旨在帮助受害者恢复被加密文件,而无需支付赎金。研究显示,这种勒索软件是基于泄露的Babuk勒索软件源代码构建的,存在重大安全漏洞。尽管Midnight的设计意图是提升加密的速度和强度,但实际上却引入了安全性缺陷,使得其加密实现受到削弱。研究人员利用这一漏洞,开发出了解密器,支持32位和64位Windows系统。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年11月07日
1、AI恶意软件进入“即时变异”时代
https://cloud.google.com/blog/topics/threat-intelligence/threat-actor-usage-of-ai-tools 攻击者首次在实战部署可“边运行边改写”自身代码的AI恶意软件家族PROMPTFLUX与PROMPTSTEAL。新型样本通过Gemini或Hugging Face API实时生成恶意脚本、混淆代码并窃取系统信息,标志AI滥用进入动态自适应阶段。多国政府支持团伙已将该技术用于钓鱼、C2开发、数据窃取全链路,地下论坛同步出现“按需定制AI攻击工具”黑市。
2、ChatGPT曝七个漏洞可隔空窃密
https://www.tenable.com/blog/hackedgpt-novel-ai-vulnerabilities-open-the-door-for-private-data-leakage 研究人员发布了一项重要研究,揭示OpenAI的ChatGPT中存在多达七个新的安全漏洞,这些漏洞可能使攻击者能够从用户的记忆和聊天记录中窃取私人信息。特别是在最新的GPT-5模型中,这些漏洞的影响尤为显著。这些漏洞涵盖了间接提示注入、持久化攻击及绕过安全机制等多种攻击手法。研究指出,攻击者可通过在博客评论区注入恶意提示,利用用户无意的提问行为,进而导致私人数据的泄露。
3、机场气象系统VizAir披露三项重大漏洞
https://www.cisa.gov/news-events/ics-advisories/icsa-25-308-04 CISA通报称,Radiometrics机场气象系统VizAir 2025-08前版本存在三项CVSS 10.0严重漏洞:CVE-2025-61945、CVE-2025-54863与CVE-2025-61956均涉及无认证管理面板与暴露API密钥。远程攻击者可零验证篡改风切变、逆温层、跑道配置等关键参数,或群发假警报致机场瘫痪。厂商已推送补丁,CISA建议立即隔离系统、关闭公网访问并启用VPN与纵深防御策略。目前暂无野外利用报告。
4、SonicWall确认被国家级黑客窃取云备份
https://www.sonicwall.com/blog/cloud-backup-security-incident-investigation-complete-and-strengthened-cyber-resilience SonicWall本周公告,9月其云备份平台遭国家级APT入侵,攻击者通过API调用下载不到5%客户的防火墙配置备份,但固件、产品及客户网络未受影响。公司已按Mandiant建议完成修复,并上线自检与凭据重置工具,提醒用户登录MySonicWall.com核查并更新口令,持续提升边缘安全防线。
5、RondoDox僵尸网络武器库升级:漏洞利用能力激增650%
https://www.freebuf.com/articles/es/455717.html RondoDox僵尸网络近期出现重大升级版本,其漏洞利用能力激增650%,标志着针对企业和物联网(IoT)基础设施的威胁态势显著升级。FortiGuard Labs于2024年9月首次记录的原始RondoDox变种仅针对DVR系统,仅具备两种漏洞利用途径。而新发现的RondoDox v2则展现出惊人扩张,拥有超过75种不同的漏洞利用途径,攻击目标涵盖从老旧路由器到现代企业应用的各类设备。
6、卢浮宫被窃案背后:十年未更新系统,包括Windows 2000/XP
https://www.csoonline.com/article/4084007/louvre-delayed-windows-security-updates-ahead-of-burglary.html 卢浮宫盗窃案暴露严重IT安全隐患,十余年未更新过时系统,包括Windows 2000/XP和八款安防软件,密码设置简单,多次审计警告未落实,促使其紧急升级安全协议。
7、谷歌修复Android关键远程代码执行漏洞
https://securityaffairs.com/184208/security/google-fixed-a-critical-remote-code-execution-in-android.html 谷歌2025年11月Android安全更新修复两处高危漏洞:CVE-2025-48593(远程代码执行,影响Android 13-16)和CVE-2025-48581(本地权限提升,仅影响Android 16)。目前未发现利用活动。
8、Teams漏洞使攻击者可冒充同事并悄无声息篡改消息
https://thehackernews.com/2025/11/microsoft-teams-bugs-let-attackers.html Microsoft Teams曝安全漏洞,攻击者可冒充同事篡改消息且不留痕迹,部分漏洞已修复,但完全修复需至2025年10月,内外威胁并存风险高。
9、WordPress的AI引擎插件中存在严重漏洞
https://www.anquanke.com/post/id/313004 Wordfence研究人员披露了热门WordPress插件AI Engine中存在的一个严重漏洞(CVE-2025-11749,CVSS评分9.8),未经身份验证的攻击者可利用该漏洞提升权限并完全控制受影响网站。该漏洞被归类为敏感信息泄露漏洞,影响所有版本至3.1.3,3.1.4版本已提供修复补丁。
10、黑客通过DLL劫持利用微软OneDrive执行任意代码
https://www.freebuf.com/articles/system/455827.html 一种利用微软OneDrive应用程序通过DLL侧加载执行恶意代码的高级攻击技术,可使威胁行为者绕过检测机制。该攻击利用经过武器化的version.dll文件劫持合法的Windows进程,并在受感染系统上保持持久性。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年11月06日
1、React Native CLI工具包曝高危漏洞
https://jfrog.com/blog/cve-2025-11953-critical-react-native-community-cli-vulnerability/ React Native官方CLI工具包@react-native-community/cli存在高危漏洞CVE-2025-11953,CVSS评分9.8。默认启动的Metro开发服务器误绑0.0.0.0,外部攻击者无需认证即可向/open-url端点发送恶意POST,借不安全open()函数在Windows上执行任意系统命令,macOS/Linux也可执行文件。受影响版本为4.8.0–20.0.0-alpha.2,
2、微软披露新型后门程序SesameOp
https://www.microsoft.com/en-us/security/blog/2025/11/03/sesameop-novel-backdoor-uses-openai-assistants-api-for-command-and-control/ 微软事件响应团队最近披露了一种新型后门程序,名为SesameOp,该程序利用OpenAI Assistants API进行命令与控制通信。该后门于2025年7月发现,攻击者通过它在目标环境中潜伏数月,使用复杂的技术实现隐蔽通信并协调恶意活动。研究人员发现,该后门通过一个加载器(Netapi64.dll)和一个基于.NET的后门(O
3、欧洲执法部门捣毁涉及6亿欧元加密骗局
https://www.eurojust.europa.eu/news/decisive-actions-against-cryptocurrency-scammers-earning-over-eur-600-million 欧洲刑警组织和欧洲司法组织成功捣毁了一个涉及6亿欧元的加密货币诈骗网络。这项联合行动于10月27日至29日在塞浦路斯、西班牙和德国展开,共逮捕了九名嫌疑人,进一步查获了大量资金,包括80万欧元的银行存款、41.5万欧元的加密货币和30万欧元的现金。犯罪分子利用社交媒体广告、电话推销以及虚假的成功案例进行招募,导致无数投资者受到欺骗。投资者一旦将资金投入这些虚假平台,加
4、日经新闻Slack平台遭入侵致数据泄露
https://www.bleepingcomputer.com/news/security/media-giant-nikkei-reports-data-breach-impacting-17-000-people/ 日本最大媒体集团日经新闻披露,其内部Slack平台因员工电脑感染木马导致凭据被盗,攻击者借此读取17,368名雇员及合作伙伴的姓名、邮箱与聊天记录。事件9月被发现后,集团已强制重置密码并主动向个人信息保护委员会呈报,强调未波及机密信源与采访资料。
5、谷歌AI工具发现苹果Safari浏览器WebKit组件5个新漏洞
https://www.freebuf.com/articles/ai-security/455628.html 苹果公司确认,谷歌旗下名为Big Sleep的人工智能(AI)网络安全Agent在其Safari浏览器使用的WebKit组件中发现了五个不同的安全漏洞。若被成功利用,这些漏洞可能导致浏览器崩溃或内存损坏。
6、苹果修复iOS 26.1与iPadOS 26.1中的多个高危漏洞
https://cybersecuritynews.com/apple-patches-critical-vulnerabilities/ 苹果发布iOS/iPadOS 26.1更新,修复50余项漏洞,包括隐私泄露、沙箱逃逸和WebKit攻击,覆盖多款设备,强化数据防护和系统稳定性,建议用户立即升级。
7、Android AI反诈系统月均拦截百亿次,防骗成功率较iOS高58%
https://securityonline.info/android-ai-scam-defense-blocks-10-billion-monthly-threats-users-58-more-likely-to-avoid-scam-texts-than-ios/ 谷歌披露AI诈骗致全球年损4000亿美元,Android三重防护系统月拦100亿次威胁,RCS功能阻断1亿可疑号码。数据显示Android防诈效果显著优于iOS,用户遭遇诈骗少58%,防护信心高20%,AI实时检测有效拦截钓鱼和骚扰。
8、AMD Zen 5处理器RDSEED指令存在高危漏洞
https://securityonline.info/high-severity-bug-amd-zen-5-rdseed-flaw-risks-randomness-integrity-microcode-fix-coming/ AMD Zen 5处理器发现高危RDSEED指令缺陷,可能导致随机性失效。AMD确认16/32位指令受影响,建议禁用或改用64位指令。微码修复将于11月陆续发布,涵盖EPYC、Ryzen等系列。
9、Windows图形组件GDI漏洞可致远程攻击者执行任意代码
https://cybersecuritynews.com/windows-graphics-rce-vulnerabilities/ 微软Windows GDI组件存在多个高危漏洞(CVE-2025-30388/53766/47984),攻击者可利用恶意文档远程执行代码或窃取数据,CVSS最高9.8分。微软已发布补丁,建议立即更新并禁用非可信环境EMF渲染。
10、Chrome 142版本发布:修复两个高危V8漏洞
https://securityaffairs.com/184149/security/chrome-142-released-two-high-severity-v8-flaws-fixed-100k-in-rewards-paid.html Google发布Chrome 142版本,修复20个漏洞,包括两个高危V8引擎漏洞,发放10万美元赏金。漏洞发现者各获5万美元。更新还涉及多个中低危漏洞,目前未被利用。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
使用朴素贝叶斯识别恶意域名
0.前言
在护网的过程中,经常需要反向连接,就有可能连接到域名上,所以可以做一个识别,判断是不是一些APT组织通过一些批量的代码生成的恶意域名。
1.朴素贝叶斯
朴素贝叶斯算法原理:其实朴素贝叶斯方法是一种生成模型,对于给定的输入x,通过学习到的模型计算后验概率分布P ,将后验概率最大的类作为x的类输出。
举个例子,a : 1(a的值是1) 对应的标签是0,a的值是1那么标签为0的概率是多少?
优点:朴素贝叶斯模型发源于古典数学理论,有稳定的分类效率。 对小规模的数据表现很好,能个处理多分类任务,适合增量式训练,对缺失数据不太敏感,算法也比较简单,常用于文本分类。
缺点:理论上,朴素贝叶斯模型与其他分类方法相比具有最小的误差率,但是实际上并非总是如此,这是因为 朴素贝叶斯模型给定输出类别的情况下,假设属性之间相互独立,也就是数据得是离散的,这个假设在实际应用中往往是不成立的,在属性个数比较多或者属性之间相关性较大时,分类效果不好。而在属性相关性较小时,朴素贝叶斯性能最为良好。
需要知道先验概率,且先验概率很多时候取决于假设,假设的模型可以有很多种,因此在某些时候会由 于假设的先验模型的原因导致预测效果不佳。
由于是通过先验和数据来决定后验的概率从而决定分类,所以分类决策存在一定的错误率。 对输入数据的表达形式很敏感。
补充
1.高斯贝叶斯分类器: 在高斯朴素贝叶斯中,每个特征都是连续的,并且都呈高斯分布。高斯分布又称为正态分布。 GaussianNB 实现了运用于分类的高斯朴素贝叶斯算法。特征的可能性(即概率)假设为高斯分布。
2.多项式贝叶斯分类器: 实现服从多项分布数据的贝叶斯算法,是一个经典的朴素贝叶斯在文本分类中使用的变种,其中的数据是通常表示为词向量的数量,虽然 TF-IDF 向量在实际项目中表现得很好。
3.伯努利贝叶斯分类器:实现了用于多重伯努利分布数据的朴素贝叶斯训练和分类算法,即有多个特征,但每个特 征 都假设是一个二元变量。 因此,这类算法要求样本以二元值特征向量表示;如 果样本含有其他类型的数据, 一个 BernoulliNB 实例会将其二值化(取决于 binarize 参数)。
先验概率
先验概率是指在没有任何额外信息的情况下,事件发生的概率。在贝叶斯分类器中,先验概率通常表示 为类别的先验概率,即在没有观察到任何特征的情况下,某个类别发生的可能。
from collections import Counter
# 假设我们有一个标签列表
labels = ["cat", "dog", "cat", "dog", "dog", "cat"]
# 计算先验概率
label_counts = Counter(labels)
total_samples = len(labels)
priors = {label: count / total_samples for label, count in label_counts.items()}
print("Prior probabilities:", priors)
提前看标签的分布,那么整个数据里面先验概率猫占比50%,狗占比50%。
没有任何的数据,也没有任何特征,就只有个标签做一个统计。
后验概率
后验概率是在给定一些观察结果后,事件发生的概率。在贝叶斯分类器中,后验概率 𝑃(ci∣x)P(Ci∣X) 表示在观察到特征 xX 的情况下,类别 ciCi 发生的概率。
import numpy as np
# 假设我们有特征的概率分布
# 特征x的概率在类别Ci下
p_x_given_c = {
"cat": {"feature1": 0.7, "feature2": 0.2},
"dog": {"feature1": 0.3, "feature2": 0.8}
}
# 计算后验概率
def calculate_posterior(features, priors, p_x_given_c):
posteriors = {}
for label, prior in priors.items():
likelihood = np.prod([p_x_given_c[label].get(f, 1.0) for f in features])
# 使用features列表中的f
joint_probabilities = {}
for lab in priors.keys():
joint_prob = np.prod([p_x_given_c[lab].get(f, 1.0) for f in
features]) # 计算每个类别的联合概率
joint_probabilities[lab] = joint_prob * priors[lab]
# 计算归一化常数P(x)
p_x = sum(joint_probabilities.values())
# 使用归一化常数计算后验概率
posterior = (likelihood * prior) / p_x if p_x > 0 else 0
posteriors[label] = posterior
return posteriors
# 观察到的特征
x = ["feature1", "feature2"]
# 计算后验概率
posteriors = calculate_posterior(x, priors, p_x_given_c)
print("Posteriors:", posteriors)
联合概率
联合概率是指多个事件同时发生的概率。在朴素贝叶斯中,我们假设特征之间相互独立,因此可以计算特征的联合概率。
# 计算联合概率
def calculate_joint_probability(features, p_x_given_c):
joint_probabilities = {}
for label, feature_probs in p_x_given_c.items():
joint_prob = 1
for feature in features:
feature_prob = feature_probs.get(feature, 1) # 特征不存在时,概率为1
joint_prob *= feature_prob
joint_probabilities[label] = joint_prob
return joint_probabilities
# 计算联合概率
joint_probs = calculate_joint_probability(x, p_x_given_c)
print("Joint probabilities:", joint_probs)
DGA
恶意域名批量生成生成的域名都有类似的规律。
长度
特殊字符的使用 数量、位置。
熵
数字与字母结合的规律,几个数字与几个字符。
2.使用朴素贝叶斯识别恶意域名
首先收集一些APT组织生成的恶意域名。
长度都是差不多的,随机生成的,这些是黑域名,那肯定就有白域名了。
数据收集完之后就可以先来加载数据。
import csv
import numpy as np
#处理域名的最小长度
MIN_LEN=10
def load_alexa(filename):
domain_list=[]
csv_reader = csv.reader(open(filename))
for row in csv_reader:
domain=row[1]
if len(domain) >= MIN_LEN:
domain_list.append(domain)
return domain_list
def load_dga(filename):
domain_list=[]
#xsxqeadsbgvpdke.co.uk,Domain used by Cryptolocker - Flashback DGA for 13 Apr 2017,2017-04-13,
# http://osint.bambenekconsulting.com/manual/cl.txt
with open(filename) as f:
for line in f:
domain=line.split(",")[0]
if len(domain) >= MIN_LEN:
domain_list.append(domain)
return domain_list
x1_domain_list = load_alexa("../data/top-1000.csv")
x2_domain_list = load_dga("../data/dga-cryptolocke-1000.txt")
x3_domain_list = load_dga("../data/dga-post-tovar-goz-1000.txt")
x_domain_list=np.concatenate((x1_domain_list, x2_domain_list,x3_domain_list))
y1=[0]*len(x1_domain_list)
y2=[1]*len(x2_domain_list)
y3=[2]*len(x3_domain_list)
y=np.concatenate((y1, y2,y3))
print(x_domain_list)
过滤掉小于10个字符的域名,毕竟APT组织生成的域名都不会小于10个字符的。
将读到的域名添加到列表中去,然后把所有的列表做一个组合。
然后给每一个数据打上标签,正常样本 0 恶意样本1 2 。
然后把这些字符串转化为数学上可以表达的东西。
import pickle
import load_data
from sklearn.feature_extraction.text import CountVectorizer
import numpy as np
cv = CountVectorizer(ngram_range=(2, 2), decode_error="ignore",
token_pattern=r"\w", min_df=1)
x= cv.fit_transform(load_data.x_domain_list).toarray()
np.savetxt("../model/data_x.csv", x, delimiter=",")
np.savetxt("../model/data_y.csv", load_data.y, delimiter=",")
with open('../model/cv.pickle','wb') as f:
pickle.dump(cv,f) #将训练好的模型clf存储在变量f中,且保存到本地
使用CountVectorizer将字符串转化为词袋集,然后看其出现的频率和频次。
然后将数据丢给fit_transform分类器,再将其转换为numpy一维矩阵。
数据处理完就该到模型部分了。
from sklearn.naive_bayes import GaussianNB
import model_param
clf = GaussianNB(priors=model_param.nb_param["priors"],var_smoothing=model_param.nb_param["var_smoothing"])
模型结构用的高斯朴素贝叶斯。
模型训练
from sklearn.model_selection import train_test_split
import numpy as np
import model_struct
import pickle
x = np.genfromtxt("data_x.csv",delimiter=",")
y = np.genfromtxt("data_y.csv",delimiter=",")
x_train, x_test , y_train, y_test = train_test_split(x, y, test_size = 0.3)
save_model = model_struct.clf.fit(x_train,y_train)
# 模型的保存
with open('nb.pickle','wb') as f:
pickle.dump(save_model,f) #将训练好的模型clf存储在变量f中,且保存到本地
模型测试
import pickle
from sklearn.model_selection import cross_val_score
import numpy as np
import matplotlib.pyplot as plt
with open('../nb.pickle', 'rb') as f:
clf_load = pickle.load(f) # 将模型存储在变量clf_load中
x = np.genfromtxt("../data_x.csv",delimiter=",")
y = np.genfromtxt("../data_y.csv",delimiter=",")
# 交叉验证
scores = cross_val_score(clf_load, x, y, cv=10, scoring='accuracy')
# 11111
# 00001
print(scores.mean())
plt.bar(np.arange(10),scores,facecolor='yellow',edgecolor='white') # +表示向上显示
for x,y in zip(np.arange(10),scores):
plt.text(x,y+0.05, '%.2f' % y,ha='center',va= 'bottom') # '%.2f' % y 保留y的两位小数 ha='center' 居中对齐 va= 'bottom' 表示向下对齐 top向上对齐
plt.ylim(0,1.1)
plt.show()
模型测试结果:
每一次运算的得分,整体的正确率在94.7%。
使用测试:
import sys
import config
sys.path.append(config.syspath)
import config
import pickle
import numpy as np
from sklearn.feature_extraction.text import CountVectorizer
def load_and_vec_data():
content = input("请输入要识别的域名:")
input_data = [str(content)]
with open('../cv.pickle', 'rb') as cv:
cv = pickle.load(cv)
x= cv.transform(input_data).toarray()
print(x)
return x
# 加载模型
with open('../nb.pickle', 'rb') as f:
clf_load = pickle.load(f)
# 使用模型进行预测
prediction = clf_load.predict(load_and_vec_data())
print("预测结果:", prediction)
输入域名,转换成数组,加载分类器。
可以看到实现了正常域名和恶意域名的识别分类。
做一个可视化出来。
from flask import Flask, render_template, request, redirect, url_for
import predict_data_vec
import pickle
app = Flask(__name__, static_url_path='/static')
@app.route('/')
def index():
return render_template('index.html')
@app.route('/process', methods=['POST'])
def process():
user_input = request.form['text_input']
# 这里可以添加你的处理逻辑
x = predict_data_vec.load_and_vec_data(user_input)
# 加载模型
with open('../model/nb.pickle', 'rb') as f:
clf_load = pickle.load(f)
# 使用模型进行预测
prediction = clf_load.predict(x)
if prediction == [0.]:
prediction = '合法域名'
# 放过
else:
prediction = '非法域名'
result = "处理结果: " + str(prediction) # 示例处理逻辑
return redirect(url_for('result', result=result))
@app.route('/result/<result>')
def result(result):
return render_template('result.html', result=result)
if __name__ == '__main__':
app.run(debug=True)
使用flask框架。
这里其实还是存在数据不足的问题,会导致模型精确度不够。
所以还是要主动去搜集恶意域名,得有个几十万数据可能才能够让模型有97%的准确率。
如果觉得还是不够稳,可以在AI判断完之后再添加个人工判断,AI觉得是非法域名,可以弹个窗或者发个消息通知。
用人的方式去理解到底是不是恶意域名,就是告警处理。
网络安全日报 2025年11月05日
1、SleepyDuck利用Open VSX扩展进行持久化攻击
https://secureannex.com/blog/sleepyduck-malware/ 网络安全研究人员发现了一种名为SleepyDuck的恶意远程访问木马(RAT)在Open VSX IDE扩展市场中蔓延。该扩展以“juan-bianco.solidity-vlang”之名发布,最初被认为是一个无害的Solidity扩展,但在其下载量达到14000次之后,更新版本中添加了恶意功能。SleepyDuck利用沙箱规避技术,并通过以太坊合约实现数据的持久化和命令与控制地址的更新。研究人员指出,恶意软件在激活后会收集用户的机器信息,并定期与其命令与控制服务器进行通信,获取新的指令和配置。
2、Kimsuky与Lazarus组织近期同步更新攻击链
https://www.gendigital.com/blog/insights/research/dprk-kimsuky-lazarus-analysis 近日研究团队发现,Kimsuky以韩语VPN发票诱饵投递Go语言SCR投放器,经XOR解密后释放MemLoad_V3加载器,借伪装“AhnLabUpdate”计划任务每分钟自启动,最终在内存植入高度混淆的HttpTroy后门;Lazarus则在美国加州目标上复活Comebacker,DLL/EXE双形态验证特定参数后,可截屏、摄像头取像、文件删除及内存注入。当前IOC已公开,安全团队建议封锁相关C2、禁用非必要COM服务并强化scr与
3、研究人员披露BankBot-YNRK手机银行木马
https://www.cyfirma.com/research/investigation-report-android-bankbot-ynrk-mobile-banking-trojan/ 研究人员发现BankBot-YNRK正冒充印尼电子身份证App,针对Android 13及以下版本发动攻击。木马先静音再伪装成Google新闻,利用辅助功能一键赋予自身设备管理员权限,并通过JobScheduler持久驻留;其C2可下发62条指令,自动唤醒Exodus、MetaMask等钱包界面,截屏提取助记词并暗转资金。研究人员补充,自2024年4月起,760余款假支付App已滥用NFC与HCE功
4、新型BOF工具利用漏洞窃取用户数据
https://tierzerosecurity.co.nz/2025/11/03/teams-cookies-bof.html 网络安全研究人员发布了一款新型的信标对象文件(BOF)工具,名为teams-cookies-bof,旨在利用Microsoft Teams中存在的cookie加密漏洞,允许攻击者窃取用户的聊天记录及其他敏感信息。该工具通过在ms-teams.exe进程上下文中运行,利用DLL或COM劫持技术,成功规避了Teams应用程序在运行时锁定cookie文件的限制。研究人员强调,窃取的令牌不仅可以用于读取现有消息,还可能允许攻击者冒充受害者发送新消息,并扩展到其他Micro
5、黑客攻击Balancer DeFi V2池窃取1.28亿美元
https://dailysecurityreview.com/cyber-security/balancer-protocol-breached-in-128-million-attack-on-defi-pools/ Balancer DeFi协议确认其V2池遭到黑客攻击,损失超过1.28亿美元。该协议是基于以太坊区块链的去中心化金融平台,提供流动性基础设施和自动做市商功能。安全专家认为这一漏洞源于Vault交换计算中的精度舍入误差,导致代币数量的微小差异在多次交易中累积成巨大的价格扭曲。此外,部分用户认为,攻击还涉及金库内部不当授权和回调处理,恶意合约在资金池初始化期间操纵金库调用,绕
6、研究人员披露 Windows SMB 服务器权限提升漏洞
https://www.freebuf.com/articles/system/455484.html Semperis 公司研究员 Andrea Pierini 发现并披露了一个新型 Windows 漏洞(CVE-2025-58726),攻击者可利用 Kerberos 认证反射缺陷,以低权限账户远程获取 SYSTEM 级访问权限。该漏洞影响所有 Windows 版本,除非强制启用 SMB 签名功能。微软已在 2025 年 10 月的补丁星期二活动中发布修复程序。
7、黑客可利用间接提示操纵Claude AI API窃取用户数据
https://www.freebuf.com/articles/ai-security/455467.html 黑客可利用Anthropic公司的Claude AI窃取敏感用户数据。攻击者通过操纵该模型在代码解释器工具中新添加的网络功能,使用间接提示注入技术提取聊天记录等隐私信息,并直接上传至攻击者账户。
8、黑客正积极扫描与WSUS漏洞相关的端口
https://www.freebuf.com/articles/system/455533.html 网络安全研究人员和防火墙监控服务发现,针对Windows Server Update Services(WSUS)基础设施的侦察活动激增。来自Shadowserver等安全组织的网络传感器数据显示,过去一周针对TCP 8530和8531端口的扫描显著增加。
9、美国研究团队利用人工智能防御类似“震网”的网络攻击
https://www.secrss.com/articles/84673 美国能源部太平洋西北国家实验室(PNNL)和佐治亚理工学院合作成立的网络安全和弹性基础设施研究所(ICARIS)正在合作研究利用人工智能来保护美国关键基础设施免遭网络攻击,包括嵌入关键基础设施网络中的可编程逻辑控制器。
10、Operation South Star:针对国产手机的0day间谍活动
https://www.secrss.com/articles/84661 近几年,奇安信威胁情报中心红雨滴团队在与东北亚地区的高级 APT 组织进行高强度对抗的过程中,发现了近 20 个涉及国产软件的 0day 漏洞,部分细节我们已经在 Operation DevilTiger、Operation ShadowTiger、XSS 0day+Clickonce等对外报告中披露,实际上来自东北亚地区的 0day 活动远不止在终端侧,我们捕获了多个针对安卓邮件客户端的 0day 攻击,其技术水平已达 1click,且攻击者很可能已掌握如“三角测量”般的 0click 能力。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年11月04日
1、俄罗斯黑客利用Adaptix工具发动勒索攻击
https://www.silentpush.com/blog/adaptix-c2/ 安全公司发现,与俄罗斯相关的勒索软件组织正滥用跨平台渗透测试框架Adaptix,以静默推送方式在全球范围投递恶意载荷。调查始于对新型加载器CountLoader的追踪,研究人员随后锁定网名为“RalfHacker”的开发者,其通过俄语Telegram频道销售并推广该工具。Adaptix基于Golang与Qt构建,可在Windows、Linux、macOS上运行,跨平台特性使其迅速成为黑产新宠。监测显示,自检测规则更新后,相关攻击活动显著上升,凸显开源安全工具被武器化的风险。
2、白俄罗斯无人机部队遭SSH-Tor后门钓鱼攻击
https://cyble.com/blog/weaponized-military-documents-deliver-backdoor/ 研究人员发现疑似Sandworm(APT44)新行动:攻击者利用伪装成军事文件的恶意软件向白俄罗斯军方的特种作战单位发起了攻击。这种恶意软件通过一个名为“ТЛГ на убытие на переподготовку.pdf”的武器化ZIP文件进行传播,采用了多种高级规避技术,如双重扩展名和混淆的PowerShell执行,以隐藏其真实意图并维持持久的后门访问。研究人员表示,这一攻击不仅针对无人机操作人员,还利用了OpenSSH和Tor隐蔽服务,使攻击者
3、kinsing组织利用Apache漏洞发动双平台攻击
https://asec.ahnlab.com/en/90811/?&web_view=true& 安全研究团队确认Kinsing组织持续利用Apache ActiveMQ远程代码执行漏洞CVE-2023-46604,在韩国针对未修复服务器发动“双平台”攻击:Linux主机被植入XMRig矿机,Windows主机则通过MSI下载器安装名为Sharpire的.NET后门。攻击者先以篡改OpenWire序列化数据包触发漏洞,再拉取C2服务器上的恶意XML配置完成远控木马与矿机并行部署。安全团队呼吁尽快升级ActiveMQ至5.15.16/5.16.7/5.17.6/5.18.3等安全版本并限制6
4、热门WP插件Elementor被爆两个安全漏洞
https://www.infosecurity-magazine.com/news/critical-flaws-elementor-king/ WordPress热门插件“King Addons for Elementor”被爆两项高危0day:未经身份验证的任意文件上传(CVE-2025-6327)与注册接口权限提升(CVE-2025-6325),波及全球1万站点。前者因AJAX nonce全站泄露且file_validity()校验失效,攻击者可伪装文件类型直传Web目录;后者允许攻击者在启用注册时通过king_addons_user_register动作指定user_role=ad
5、攻击者利用虚假PayPal进行钓鱼邮件诈骗
https://www.malwarebytes.com/blog/news/2025/10/fake-paypal-invoice-from-geek-squad-is-a-tech-support-scam 研究人员揭露冒充PayPal的新型技术支持诈骗:攻击者用群发空白邮件,附“随机名”PDF发票,声称用户被Geek Squad扣款823美元,24小时后到账,诱使受害者拨打假客服电话。邮件虽通过SPF/DKIM验证,但发件域名、BCC群发、无品牌标识、仅留可疑号码等特征均暴露其钓鱼本质。一旦拨号,骗子以远程检修为由植入后门或兜售假杀毒软件,最终窃取资金与数据。安全机构已将该样本标记为诈
6、安永云服务中发现4TB SQL备份泄露
https://www.neosecurity.nl/blog/ey-data-leak-4tb-sql-server-backup 研究人员在例行扫描中发现,通过HEAD请求意外确认了安永会计师事务所的云存储中存在一个高达4TB的SQL Server备份文件,该文件公开可访问并且未加密。这意味着其中包含的所有敏感信息,包括API密钥和用户凭据,都可能被恶意攻击者轻易获取。研究人员经15次联络才接通安永CSIRT,后者一周内完成修复并声明无客户数据外泄。
7、Linux 内核释放后重用漏洞正被用于勒索软件攻击
https://cybersecuritynews.com/linux-kernel-use-after-free-vulnerability-exploited/ CISA警告Linux内核高危漏洞CVE-2024-1086正被利用,攻击者可本地提权部署勒索软件,影响主流发行版。需立即升级内核至6.1.77+或禁用nf_tables模块,防范混合云环境中的勒索攻击。
8、Akira勒索软件组织宣称窃取Apache OpenOffice 23GB数据
https://cybersecuritynews.com/apache-openoffice-data-breach/ Akira勒索软件组织宣称窃取Apache OpenOffice 23GB敏感数据,威胁公开。该事件凸显开源项目安全风险,可能引发员工信息泄露和钓鱼攻击。Akira以双重勒索闻名,地缘政治选择性明显。开源社区需加强防护,用户应监控异常并隔离备份数据。
9、Claude AI漏洞:攻击者可利用代码解释器窃取企业数据
https://www.csoonline.com/article/4082514/claude-ai-vulnerability-exposes-enterprise-data-through-code-interpreter-exploit.html Claude AI漏洞允许攻击者通过代码解释器窃取企业数据,利用API端点绕过安全设置,将敏感信息发送至攻击者账户。Anthropic公司将其归类为模型安全问题,但研究者认为这是严重漏洞,企业面临高风险且缓解措施有限。
10、警惕窃取用户敏感数据的恶意ChatGPT应用
https://cybersecuritynews.com/beware-of-malicious-chatgpt-apps/ 恶意ChatGPT仿冒应用泛滥,窃取用户敏感数据并监控活动。这些应用伪装逼真,利用品牌信任渗透设备,通过混淆技术逃避检测,窃取密码、银行验证码等信息,威胁用户安全。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年11月03日
1、WordPress防护插件漏洞致订阅用户可读服务器文件
https://www.wordfence.com/blog/2025/10/100000-wordpress-sites-affected-by-arbitrary-file-read-vulnerability-in-anti-malware-security-and-brute-force-firewall-wordpress-plugin/ 研究人员发现,安装在逾10万家网站上的WordPress插件“Anti-Malware Security and Brute-Force Firewall”存在高危漏洞(CVE-2025-11705),允许低权限订阅用户读取服务器任意文件,包括含
2、NFC中继恶意软件激增窃取欧洲信用卡信息
https://zimperium.com/blog/tap-and-steal-the-rise-of-nfc-relay-malware-on-mobile-devices 移动安全公司Zimperium警告称,滥用近场通信(NFC)技术的恶意软件在东欧地区急剧增长,近几个月内已发现超760个利用该技术窃取信用卡信息的Android应用。此类恶意程序通过滥用Android的主机卡仿真(HCE)功能,拦截并转发POS终端的APDU命令,从而在无需持卡人的情况下完成支付。攻击活动最早于2023年在波兰出现,随后扩散至捷克、俄罗斯、斯洛伐克等地。研究人员发现,这些应用伪装成Google Pay
3、外包巨头Conduent数据泄露波及逾一千万人
http://maine.gov/agviewer/content/ag/985235c7-cb95-4be2-8792-a1252b4f8318/389e9d0d-8e23-497d-aaab-1c4c8a80707f.html 美国业务流程外包(BPO)巨头Conduent确认,其于2024年遭遇的网络入侵事件已导致超过1050万人个人信息泄露。泄露数据包括姓名、社会安全号码、出生日期、健康保险及医疗信息等。此次事件最严重的受影响方为俄勒冈州政府,单州受害者数即达1050万,其余德州、华盛顿及缅因州亦有报告。Conduent此前曾在2025年初遭遇由Safepay勒索团伙声称负责的攻击,
4、澳大利亚警告思科设备可能被BadCandy反复感染
https://www.cyber.gov.au/about-us/view-all-content/alerts-and-advisories/badcandy 澳大利亚信号局(ASD)发布最新警报:因迟迟未打补丁,境内约150台Cisco IOS XE路由器仍被植入BadCandy WebShell,且攻击者在检测到重启清除后立即重新利用CVE-2023-20198漏洞再次入侵。该漏洞允许无验证远程创建管理员账户并获root权限。ASD已向受害实体及ISP发出批量通知,要求立即安装官方补丁、关闭公网Web UI、核查高权账户与隧道配置,并参考思科加固指南强化边缘设备。
5、L3Harris公司前高管承认向俄罗斯出售零日漏洞
https://cyberscoop.com/peter-williams-guilty-selling-zero-day-exploits-russian-broker-operation-zero/ 39岁前L3Harris子公司Trenchant高管彼得·威廉姆斯在华盛顿特区联邦法院承认两项窃取商业秘密罪:2022-2025年间,利用澳信号局背景与内部权限,将8个专为美国政府及盟友开发的零日漏洞经加密渠道卖给俄罗斯掮客“Operation Zero”,换取数百万美元加密货币并挥霍于奢侈品。美方评估此举致国防承包商损失3500万美元,并令俄政府等“非北约终端用户”获得可用于攻击全球目标的
6、Brash漏洞可令Chromium全系浏览器崩溃
https://github.com/jofpin/brash 研究员Jose Pino公开Blink引擎0day漏洞“Brash”:利用document.title无速率限制缺陷,通过单条恶意URL在15秒内注入2400万次DOM变更,令Chrome、Edge等所有Chromium浏览器主线程饱和崩溃。漏洞支持秒级/定时引爆,可潜伏于AI爬虫、手术导航、交易终端等关键场景,已验证影响桌面、Android及嵌入式环境超30亿用户。
7、CISA/NSA急发Exchange与WSUS防护令
https://www.cisa.gov/news-events/news/cisa-nsa-and-global-partners-unveil-security-blueprint-hardening-microsoft-exchange-servers CISA与NSA联合澳、加机构发布紧急指南,要求各组织立即为本地Exchange与WSUS服务器打补丁、限管、启用MFA及TLS强化配置,并停用已停服的Exchange。此前24小时内,CVE-2025-59287(WSUS远程代码执行)遭野外利用,攻击者通过base64 PowerShell回传数据,已致至少50家教育、医疗、制造及科
8、Eclipse基金会撤销泄露VSX令牌
https://blogs.eclipse.org/post/mika%C3%ABl-barbero/open-vsx-security-update-october-2025 Eclipse基金会公告Open VSX注册中心安全事件结案。月初,Wiz与Koi Security相继报露部分开发者将发布令牌误传至公开仓库,导致攻击者上传凭证窃取型恶意扩展,并虚刷3.5万下载量。团队已撤销所有受影令牌、下架恶意插件,并联合MSRC引入令牌前缀扫描、缩短默认有效期、上线发布时自动安全扫描及一键撤销功能。
9、WSUS漏洞遭利用植入Skuld木马
https://www.darktrace.com/blog/wsus-exploited-darktraces-analysis-of-post-exploitation-activities-related-to-cve-2025-59287 美国两家机构检测到CVE-2025-59287 WSUS漏洞利用情况。攻击者先通过workers.dev下发带漏洞的Velociraptor安装包,再投递UPX打包的Skuld窃密木马,窃取浏览器、钱包及系统数据。Darktrace凭行为异常模型秒级告警并触发自主阻断,显示漏洞可在补丁不完整后迅速遭武器化,建议立即加固WSUS并限制出站PowerS
10、CISA警告Linux内核漏洞遭勒索利用
https://cybersecuritynews.com/linux-kernel-use-after-free-vulnerability-exploited/ 近日,CISA将Linux内核netfilter组件CVE-2024-1086纳入KEV目录,确认其已被用于部署LockBit等勒索软件。该漏洞为本地释放后使用缺陷,攻击者先凭钓鱼或弱口令取得立足点,再植入恶意nf_tables规则即可提权至root并植入加密载荷,受影响版本涵盖Ubuntu、RHEL、Debian等内核低于6.1.77的系统。CISA要求联邦机构三日内升级至6.1.77+或禁用nf_tables,并呼吁企业扫描
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
用隐式马尔科夫模型检测XSS攻击Payload
0.前言
学习一下如何使用机器学习的方式去识别XSS Payload。
1.XSS介绍
其实xss说白了,就是通过向网页中注入恶意的脚本代码,一般来说都是 JavaScript,让代码在其他用户的浏览器中执行,从而达到窃取信息、冒充身份、传播木马等目的。
换句话说,网站本来应该只展示安全的内容的,但是攻击者把一些恶意的脚本给塞入了网站中,让浏览器错误地把其当成正常内容执行了。
大概有以下这几种分类:
反射型:payload 在请求里,也就是URL或者表单,服务器拼回页面即触发,通常需要诱导点击。
存储型:payload 被存入库,比如说什么网站的评论、昵称、公告之类的,所有访问者都会触发。
DOM 型:前端脚本把不可信数据塞进危险 DOM SinkinnerHTML 之类的,不依赖服务器拼接。
盲 XSS:这个顾名思义是看不到弹窗,但 payload 会在后台或者运营端页面执行。
自我 XSS:诱导用户在控制台粘贴代码。
变异 XSS:浏览器或框架在解析或者重排 DOM 时修补标签,绕过原本的过滤器。
2.隐式马尔科夫
马尔科夫模型就是基于本次观测的状态来预测上一次的状态 而不依赖前面的所有内容。
假设现在有三个时间点:1,2,3
在2这个时间点是a,到了3这个时间点就变成了A,而马尔科夫模型在这里就仅根据a来预测,而不是根据a前面的内容。
主要解决连续问题,比如说:
文本类中上一个字或者词中下一个字词的出现概率。
一个连续的字词构成的句子判断句子的情感等。
使用的时候需要在虚拟环境中下载一个第三方库
pip install hmmlearn -i https://pypi.tuna.tsinghua.edu.cn/simple
3.使用隐式马尔科夫识别XSS
注意:这里只截取重要部分代码,并没有展示完全。
xss语法特征
<src>
<script>
<alert>
http://
<img>
onerror
导入一个文本的数据,都是各种各样的xss变体,github或者是kaggle上都能找到相关的xss数据集。
然后进行一个数据向量的处理。
这是个正则表达式,匹配双引号里面的字符串,比如说xss里面会有这种<>括起来的符号。
还有把http开头的,闭合的标签,反斜杆,或者是只有一个>,还有=符号,毕竟xss里面有什么onerror=xxx之类
还有函数调用,老生常谈的alert。
然后使用nltk,一个自然语言的工具,用来做分词处理。
那什么是分词处理?把一段连续的文本拆分成一个个有意义的“词语”或“最小语言单位”的过程。
在英语中,单词之间有空格,计算机很容易识别:
“I love natural language processing.”
可以直接得到:["I", "love", "natural", "language", "processing"]
但在中文中,句子是连续的,没有空格:
“我爱自然语言处理。”
对计算机来说,这是一个连续的字符串,它不知道“我爱”、“自然语言处理”这些边界。所以就需要中文分词算法来判断哪些字该组合在一起。
接下来就是转换列表,去重,添加等常规操作。
这样就大致完成了数据向量的处理。
模型的结构
import model_param
from hmmlearn import hmm
remodel = hmm.GaussianHMM(n_components=model_param.N, covariance_type="full", n_iter=model_param.n_iter)
model_param.N是模型的状态,就是样本到底有几个类型,比如3个不同类型的骰子之类的。
covariance_type="full" 这个表示所有的样本都是有数据的,都是不为0的。
#状态个数
N=5
#迭代次数
n_iter=100
这里就把状态数和迭代数设置为5和100,这里100次看个人电脑配置吧,我100次都跑得挺慢的。
模型的训练
import model_struct
import joblib
import vec_data
index_wordbag=1 #词袋索引
wordbag={} #词袋
wordbag = vec_data.load_wordbag("E:\\my_hmm\\data\\xss-200000.txt",2000)
X,X_lens = vec_data.vec("E:\\my_hmm\\data\\xss-200000.txt",wordbag)
remodel = model_struct.remodel.fit(X,X_lens)
joblib.dump(remodel, "xss-train.pkl")
把用到的数据都加入到词袋中去,第一次词袋是空的,第一次就是去填满这个内容,也就是词的特征,第二次是做匹配,也就是根据上面的特征去做匹配才能返回X这个结果。
有了X和X_lens之后就可以做训练,然后把xss-train.pkl这个模型保存到本地。
模型测试
可以设置一个判断的阈值,或者理解为一个评分。
都是负数,评分越靠近0就说明越不像xss,评分越远离0就说明很像xss。
比如说我们在test数据中放入这么几条数据
/0_1/?%22onmouseover='prompt(42873)'bad=%22%3E
/0_1/api.php?op=map&maptype=1&city=test%3Cscript%3Ealert%28/42873/%29%3C/script%3E
/0_1/api.php?op=map&maptype=1&defaultcity=%e5%22;alert%28/42873/%29;//
/0_1/api.php?op=map&maptype=1&defaultcity=%E5%8C%97%E4%BA%AC&api_key=%22%3E%3C/script%3E%3Cscript%3Ealert%28/42873/%29;%3C/script%3E
/0_1/api.php?op=map&maptype=1&defaultcity=%E5%8C%97%E4%BA%AC&field=%29%3C/script%3E%3Cscript%3Ealert%2842873%29%3C/script%3E//
/0_1/api.php?op=video_api&pc_hash=1&uid=1&snid=%3C/script%3E%3Cscript%3Ealert(/42873/)%3C/script%3E//&do_complete=1%20
/0_1/api.php?op=video_api&uid=1&snid=1&pc_hash=%3C/script%3E%3Cscript%3Ealert(/360/)%3C/script%3E//&do_complete=1
/0_1/?callback=%3Cscript%3Eprompt(42873)%3C/script%3E
让训练好的模型去检测这些是不是xss攻击。
可以看到评分越小,说明它越像xss攻击。
接下来,可以把训练好的模型做成一个可视化界面。
可以使用django或者flask框架,这里就使用flask框架。
...
#最大似然概率阈值
T=-13
def process_text(input_text):
# 这里可以添加处理逻辑
remodel = joblib.load("E:\\my_hmm\\model\\xss-train.pkl")
f = open("test.txt", "w")
f.write(input_text)
f.close()
pro,line = test(remodel,"test.txt")
print(pro)
if pro == -1000:
return "请输入长度为10以上的payload"
elif pro > T:
return "没有检测到xss代码"
else:
return f"检测的结果是: {line},评分为:{pro}"
@app.route('/', methods=['GET', 'POST'])
def index():
result = ""
if request.method == 'POST':
input_text = request.form['input_text']
result = process_text(input_text)
return render_template('index.html', result=result)
if __name__ == '__main__':
app.run(debug=True)
先把训练好的模型加载进来,然后把input_txt保存成一个本地文件test.txt,然后使用写好的判断分数函数去做一个分数判断。
因为最简单的xss攻击payload也会超过10个长度,所以可以先把长度小于10的排除了。
如果分数大于-13,就说明模型认为不是xss攻击。
实际效果就如下图:
使用样本里面没有的xss payload 模型也能检测出来。
但是并非百分之百正确,却可以解决一些看起来像的问题。
有一点要注意,虽然 HMM 可以捕捉 XSS Payload 的语法序列特征,但对于经过多层编码、混淆的攻击样本效果有限。
此外,模型需要大量带标签的数据进行训练,否则容易过拟合。
网络安全日报 2025年10月31日
1、电通子公司Merkle遭数据泄露事件
https://www.group.dentsu.com/jp/news/release/001551.html 日本广告巨头电通(Dentsu)披露,其美国子公司Merkle遭遇网络安全事件,导致员工及客户数据被窃取。事件发生后,公司立即启动应急响应并关闭部分系统,以防止进一步扩散。泄露信息包括员工银行与薪资资料、个人联系方式及部分客户与供应商数据。电通已通知受影响个人,并向相关国家监管机构报告。Merkle是电通旗下专注客户体验与数据营销的全球子公司,在北美、EMEA及亚太地区运营,客户涵盖微软、英特尔、宝洁及希尔顿等国际品牌。目前调查仍在进行,电通确认日本国内系统未受影响,但预计事件将
2、PHP服务器与物联网设备遭大规模僵尸网络攻击
https://www.netscout.com/blog/asert/asert-threat-summary-aisuru-and-related-turbomirai-botnet-ddos Qualys威胁研究部门警告,近期Mirai、Gafgyt及Mozi等多种僵尸网络对PHP服务器、物联网设备与云网关发起自动化攻击激增。攻击者利用已知CVE漏洞及云配置错误,控制易受害系统并扩展僵尸网络,其中PHP框架漏洞如CVE-2017-9841(PHPUnit)、CVE-2021-3129(Laravel)和CVE-2022-47945(ThinkPHP)被频繁利用。部分攻击还滥用Xdebu
3、10款恶意npm包窃取开发者凭证
https://www.npmjs.com/package/keyring Socket安全研究员Kush Pandya披露,10个拼写山寨的npm包(如deezcord.js、dezcord.js等)于2025年7月4日上传注册表,合计约9900次下载。安装时通过postinstall钩子展示假CAPTCHA并在新终端启动四层混淆的JavaScript加载器,指纹化受害者后下载约24MB的PyInstaller信息窃取器(跨Windows、macOS、Linux)。该窃取器能读取系统keyring、浏览器凭证、SSH密钥与各类开发令牌,将压缩后的数据上报至攻击服务器(报告指向IP 195.
4、俄黑客对乌发动隐蔽性网络攻击
https://www.security.com/blog-post/ukraine-russia-attacks 据Symantec与Carbon Black威胁狩猎团队报告,俄方黑客近期针对乌克兰多家机构展开间谍活动,旨在窃取敏感数据并维持长期访问权限。攻击者通过在公共服务器上植入Web Shell(如LocalOlive)入侵系统,广泛使用“以系统之矛攻系统”的Living-off-the-Land(LotL)战术及双用途工具,减少恶意软件使用以规避检测。入侵行动包括执行PowerShell命令、修改注册表、建立RDP连接、部署OpenSSH并定时运行后门脚本等。尽管未发现确凿证据指向
5、会计巨头安永4TB数据库文件在微软Azure平台遭公开
https://cybersecuritynews.com/ey-data-leak/ 全球会计巨头安永4TB敏感数据库备份文件在Azure平台公开暴露,含并购数据与密钥,凸显云存储配置风险。攻击者可在数分钟内扫描并利用此类漏洞,企业需加强持续监测与访问控制。
6、攻击者利用NFC中继恶意软件克隆安卓手机,实现非接触式支付
https://hackread.com/nfc-relay-malware-clone-tap-to-pay-android/ 安卓恶意应用滥用NFC功能窃取支付数据,760余款伪装成银行程序的恶意软件在全球扩散,通过Telegram机器人实时中继交易。Zimperium建议仅从官方商店下载应用并警惕支付设置请求。
7、Windows 云文件过滤驱动存在权限提升漏洞
https://securityonline.info/researcher-details-windows-cloud-files-mini-filter-driver-elevation-of-privilege-flaw-cve-2025-55680/ 微软Cloud Files驱动(cldflt.sys)存在权限提升漏洞(CVE-2025-55680),攻击者可利用竞态条件在系统任意位置创建文件,通过DLL侧加载获取SYSTEM权限。影响2025年10月前所有Windows版本,建议立即更新补丁。
8、微软全球服务中断:Azure、365等多平台受影响
https://hackread.com/microsoft-outage-azure-365-xbox-minecraft/ 微软云配置错误引发全球服务瘫痪,Azure、Office 365、Teams等多项服务中断,波及企业和个人用户。事件凸显单一云服务风险,微软正紧急修复。建议用户暂缓使用并评估容灾预案。
9、Chrome 142 版本发布:修复 20 个可导致恶意代码执行的漏洞
https://cybersecuritynews.com/chrome-142-released-fix-20-vulnerabilities/ 谷歌发布Chrome 142稳定版,修复20个高危漏洞,包括V8引擎远程代码执行风险,强化安全防护。更新涵盖Windows、Mac和Linux平台,建议用户立即升级以确保系统安全。
10、新型AI定向伪装攻击诱使AI爬虫将虚假信息引用为已验证事实
https://thehackernews.com/2025/10/new-ai-targeted-cloaking-attack-tricks.html 网络安全研究人员发现AI定向伪装攻击,可诱骗ChatGPT等AI爬虫引用虚假信息,威胁AI模型安全。攻击者通过向普通浏览器和AI爬虫提供不同内容实施攻击。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
网络安全日报 2025年10月30日
1、BiDi Swap漏洞让假网址伪装成真
https://www.bleepingcomputer.com/news/security/bidi-swap-the-bidirectional-text-trick-that-makes-fake-urls-look-real/ Varonis Threat Labs警告称,一项名为“BiDi Swap”的旧漏洞正被重新利用,用以伪造看似可信的网页链接。该漏洞源于浏览器对左右混排文字(LTR/RTL)的处理差异,攻击者可借此制造表面正常、实则指向恶意网站的URL,从而实施钓鱼攻击。早期类似技术包括Punycode同形异义域名与RTL覆盖符欺骗,而BiDi Swap进一步利用Unicod
2、TEE.Fail攻击破坏Intel、AMD、NVIDIA CPU上的机密计算
https://tee.fail/ Georgia Tech与Purdue大学研究人员披露,一种称为TEE.Fail的侧信道攻击可在DDR5平台通过内存总线插装设备(interposer)截获AES-XTS密文,进而恢复Intel SGX/TDX与AMD SEV-SNP中的密钥并伪造attestation。研究显示此法成本低于1000美元,但需物理接触与内核权限,攻击原理利用DDR5去除内存完整性/重放保护导致的决定性密文映射。实验已能重建签名私钥并模拟可信执行环境,三大厂商已获通报并在制定缓解方案;研究者警告尽管实施复杂,面对高价值目标具现实威胁,建议加强硬件与固件防护与补丁应对。
3、Chrome将默认警告HTTP不安全网站
https://www.bleepingcomputer.com/news/google/google-chrome-to-warn-users-before-opening-insecure-http-sites/ Google宣布,自2026年10月发布的Chrome 154起,浏览器将默认在访问未使用HTTPS的公共网站前提示用户确认,以强化防护中间人攻击与数据篡改风险。此举相当于默认启用“始终使用安全连接”功能,该模式自2021年起为可选设置。未来Chrome将在首次访问非加密网站时请求许可,而对经常访问的HTTP站点不重复提醒。预计2026年4月起,启用增强安全浏览的用户将率先体验
4、CISA警告达索Apriso再曝两漏洞遭利用
https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2025-6204%2C+CVE-2025-6205&field_date_added_wrapper=all&field_cve=&sort_by=field_date_added&items_per_page=20&url=&&&&& 美国网络安全与基础设施安全局(CISA)通报,攻击者正积极利用法国达索系统(Dassault Systèmes)DELMIA Apriso制造执行系统中的两项新漏洞。漏洞CVE-2025-
5、网络安全法完成修改,2026年1月1日起施行
https://www.freebuf.com/articles/454670.html 新修订《网络安全法》2026年施行,强化法律责任,新增人工智能治理条款,支持AI技术研发与基础设施建设,完善伦理规范与风险监管,加强关键信息基础设施保护,提升数据安全与个人信息保护力度。
6、Ubuntu内核曝严重UAF漏洞,可致攻击者获取Root权限
https://cybersecuritynews.com/ubuntus-kernel-vulnerability/ Ubuntu Linux内核曝高危漏洞,本地攻击者可提权至root。漏洞源于af_unix子系统引用计数失衡,导致UAF问题,影响Ubuntu 24.04.2系统。Canonical已发布修复补丁,用户需立即更新内核版本至6.8.0-61或更高。
7、 微软披露ASP.NET漏洞:攻击者可利用HTTP请求走私绕过安全控制
https://cybersecuritynews.com/microsoft-details-asp-net-vulnerability/ 微软紧急修复ASP.NET Core高危漏洞CVE-2025-55315(CVSS 9.9),该漏洞允许HTTP请求走私攻击,可能导致权限提升、数据泄露。影响所有版本,需立即更新补丁并审核请求处理代码,加强代理流量监控。
8、Herodotus安卓木马通过模拟人类打字行为逃避检测
https://securityaffairs.com/183974/malware/herodotus-android-malware-mimics-human-typing-to-evade-detection.html Herodotus新型安卓银行木马通过模拟人类打字行为(随机延迟输入)逃避检测,利用无障碍服务窃取凭据并接管设备,已在意大利和巴西发动针对性攻击。其MaaS商业模式和高级功能显示银行木马威胁持续升级。
9、Aisuru僵尸网络创下20Tb/秒DDoS攻击新纪录
https://securityaffairs.com/183969/malware/aisuru-botnet-is-behind-record-20tb-sec-ddos-attacks.html 新型Mirai变种僵尸网络Aisuru发动峰值超20Tb/秒DDoS攻击,主要针对在线游戏行业,利用漏洞设备发起UDP/TCP洪泛,导致宽带中断和路由器故障。防御需全面监控流量,部署智能缓解系统并修复漏洞设备。
10、塔塔汽车泄露AWS密钥和超70TB敏感信息与试驾数据
https://cybersecuritynews.com/tata-motors-data-leak/ 塔塔汽车系统漏洞暴露70TB敏感数据,包括客户信息、财务报告等,因AWS密钥硬编码和薄弱加密导致。漏洞2023年发现但修复拖延,危及数百万用户数据,凸显车企数字安全风险及透明度不足。
声明
以上内容原文自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景科技观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景科技无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景科技一律不予承担。
第2页 第3页 第4页 第5页 第6页 第7页 第8页 第9页 第10页 第11页 第12页 第13页 第14页 第15页 第16页 第17页 第18页 第19页 第20页 第21页 第22页 第23页 第24页 第25页 第26页 第27页 第28页 第29页 第30页 第31页 第32页 第33页 第34页 第35页 第36页 第37页 第38页 第39页 第40页 第41页 第42页 第43页 第44页 第45页 第46页 第47页 第48页 第49页 第50页 第51页 第52页 第53页 第54页 第55页 第56页 第57页 第58页 第59页 第60页 第61页 第62页 第63页 第64页 第65页 第66页 第67页 第68页 第69页 第70页 第71页 第72页 第73页 第74页 第75页 第76页 第77页 第78页 第79页 第80页 第81页 第82页 第83页 第84页 第85页 第86页 第87页 第88页 第89页 第90页 第91页 第92页 第93页 第94页 第95页 第96页 第97页 第98页 第99页 第100页 第101页 第102页 第103页 第104页 第105页 第106页 第107页 第108页 第109页 第110页 第111页 第112页 第113页 第114页 第115页 第116页 第117页 第118页 第119页 第120页 第121页 第122页 第123页 第124页 第125页 第126页 第127页 第128页 第129页 第130页 第131页 第132页 第133页 第134页 第135页 第136页 第137页 第138页 第139页 第140页 第141页 第142页 第143页 第144页 第145页 第146页 第147页 第148页 第149页 第150页 第151页 第152页 第153页 第154页 第155页 第156页 第157页 第158页 第159页 第160页 第161页 第162页 第163页 第164页 第165页 第166页 第167页 第168页 第169页 第170页 第171页 第172页 第173页 第174页 第175页 第176页 第177页 第178页 第179页 第180页 第181页 第182页 第183页 第184页 第185页 第186页 第187页 第188页 第189页 第190页 第191页 第192页 第193页 第194页 第195页 第196页 第197页 第198页 第199页 第200页 第201页 第202页 第203页 第204页 第205页 第206页 第207页 第208页 第209页 第210页 第211页
蚁景网安学院火热招生中,限时领取大额优惠券,快来抢购吧~
扫码咨询客服了解招生最新内容和活动

