zzm

360实习总结
实习期2018年3月21——2018年6月16日部门信息安全部——0kee团队——web攻防组工作内容web提测和...
扫描右侧二维码阅读全文
16
2018/06

360实习总结

实习期

2018年3月21——2018年6月16日

部门

信息安全部——0kee团队——web攻防组

工作内容

web提测和Review

主要是负责审核360新上线或者新更新的业务,一般能要到代码的就白盒,不行就黑盒,另外也会重新检查已上线的业务。发现了不少高危严重漏洞(不得不说提测确实很有必要),其中包括几个无限刷钱的漏洞。

摄像头黑词识别

360的摄像头有许多用于非法场所,例如赌博、色请交易。这个case主要是通过摄像头的一些信息去辨别它是不是一个非法的摄像头,对于已有的六千多样本能到90%以上准确率。

网易点选验证码识别

360的用户中心需要更换验证码,因此需要对业界的方案做一个风险评估,点选验证码算是难度比较大的,不过仍然可以破解。我分别使用了一个目标检测器和一个分类器去建立模型。

  1. 目标检测器
    使用yolo v2算法(v3有bug),手工标记了500张图片,汉字区域检测的准确率>95%
  2. 分类器
    使用全连接的cnn,在打码平台上打了12000张码,结合目标检测器,整体准确率>90%

学习

研究了一下当时360内部爆出过的几个比较严重的漏洞,以及一些通用漏洞的复现。另外还学习了一些nlp和深度学习的算法,例如cnn、rnn、层次聚类。

Last modification:August 28th, 2018 at 10:31 pm

Leave a Comment