fooying 最近的时间轴更新
fooying

fooying

V2EX 第 63002 号会员,加入于 2014-05-18 22:04:57 +08:00
欢迎关注微信公众号:0xsafe
Security researcher and developer
fooying 最近回复了
2019-02-22 14:01:05 +08:00
回复了 abcbuzhiming 创建的主题 Linux Linux 被入侵了该怎么整,入侵者摆明了不怕你知道
2015-05-26 20:51:39 +08:00
回复了 zicai 创建的主题 Meteor Meteor 中文社区上线啦!!
@chenhui7373 您知道这个网站的站长是谁吗?
2015-05-26 20:47:55 +08:00
回复了 zicai 创建的主题 Meteor Meteor 中文社区上线啦!!
@jasli2 目前官方就用的这套Ruby写的,会打算用 Meteor 来写
欢迎加入我们QQ群327885034,社区地址Meteorhub.org
2015-05-26 13:20:34 +08:00
回复了 zicai 创建的主题 Meteor Meteor 中文社区上线啦!!
2014-06-03 18:42:09 +08:00
回复了 wtbhk 创建的主题 程序员 掌握了入口就可以肆无忌惮耍流氓。请大家支个招。
@wtbhk 嗯,的确体验是有太多需要改进的地方
2014-06-03 10:54:14 +08:00
回复了 wtbhk 创建的主题 程序员 掌握了入口就可以肆无忌惮耍流氓。请大家支个招。
针对楼主说的几点问题,从做恶意网站数据处理、引擎开发的角度给你几个回复:
先做个背景介绍把,一般恶意网址的来源有几个:
1、引擎检测,就是比如百度搜索每天有一大堆的搜索网址,直接拿来作为入口url,放到集群去检测,然后引擎识别是否恶意网址,不同引擎标注网址恶意类型;
2、人工举报审核,各种平台会有一大堆网民举报的网址,然后通过人工审核,确认恶意情况入库到恶意网址数据库;
3、数据交换,不同的恶意网址产生提供商之间为了更好的数据准确性及覆盖,一般会做一些数据交换,进行互补。
正常情况下,那些安全厂商的恶意网址就是这样来的。

然后根据以上的几个情况,可能会存在几个识别问题:
1、分类识别不准
2、误报
3、漏报
这几个情况基于以上三种数据来源来说:
1、人工审核就不说了,因为是人工看,不排除存在误报和分类不准情况,但一般基本是为0
2、引擎检测,这个没什么好说的,每家开发的引擎不一样,算法不一样,资源不一样,识别情况都是不同的,比如腾讯搞自家仿腾讯产品的仿冒网站就识别的比较准,淘宝搞识别阿里系网站也是比较准;还有就是专精,比如金山,专精钓鱼,因为他们有赔付服务,但是也避免不了误报。
3、厂商数据交换,这取决于厂商的能力,包含他们的引擎识别准确度等,一般会先做质检,然后才会根据情况使用。

再单独说下分类不准的情况,就钓鱼和仿冒来说,大部分的网站为了钓鱼会先仿冒,所以就这种情况首先就不好归类;然后再谈谈细节问题,一般来说,引擎是无法做到细化到具体的技术细节的,一般会给出个出问题的url,因为实现这种东西没必要,等于花那么多的钱去搞一个可能只是个别人重视的东西,一般这种技术细节也只有懂技术的人才会看,而懂的人一般根据恶意类型,然后知道根据url和恶意类型一般就能找出问题来。

本来想多写点,不过要上班了,哈哈,就不多说了,最后针对回答下以下几个问题,其他可以关注我知乎专栏: http://zhuanlan.zhihu.com/fooying。

1.只说有“盗号危险”,具体技术细节只字不提
答:这个问题上面解释过了,就不说了

2.检测报告说“有危险”的3个页面中有1个页面是不存在的(404)
答:机器是不会骗人的,如果不存在的页面是爬不进去的,引擎的实现也是基于爬虫的前提的,所以只可能是网址被删除了。

3.检测结果和所谓的挂马盗号没有一毛钱关系
答:不知道你说的检测结果是啥,不过这里有两个概念,一个是漏洞检测,一个是恶意网站,一般来说,如果存在漏洞的网站容易被黑,然后就容易被篡改页面啥的(具体看这个http://zhuanlan.zhihu.com/fooying/19705511)。

4.申诉之后需要30天时间的“观察期”(就算已经修复了所谓“盗号漏洞”)
答:据我了解,有这个机制的存在原因是因为存在部分确实恶意的网站,然后每次申诉的时候,故意把页面弄成正常页面,然后去申诉,申诉通过又改回去的情况,所以才有了这个机制。

5.邮件中给出的查看详情的链接几乎没有可用的信息(傻瓜式体检)
答:不知道指的是哪个链接,如果是查看漏洞检测页面的那个链接,详情是需要先认领网站,也就是登陆认领,确定那个网站是你自己的才能查看,因为从负责的角度讲,一个网站的漏洞信息肯定是不可能透露给该网站管理、站长之外的人的,因为会被一些有心人利用。

6.没有任何客服电话和邮箱地址,完全没办法交流
答:这个具体我就不知道了,建议官网找找。

7.anquan.org是一个叫知道创宇的组织,不是腾讯
答:根据官网说明,安全联盟是第三方组织,知道创宇是运营方。

8.邮件里居然提供一个QQ群号作为联系方式,但是这个群居然根本不存在(92557936)
答:这是似乎是,表示不清楚情况


然后最后说几点,不是针对楼主,只是作为一个从业者,经常碰到的情况,其实搞任何东西都不是容易的,都会被骂,但是总得有人出来搞。
所有的恶意网站都会说自己网站是安全的,这就跟所有的罪犯总是说自己没罪是一样。
警察会抓错人,网站也会误判,很多恶意内容是看不出来的,比如这几种,http://zhuanlan.zhihu.com/fooying/19705511。

如果确定自己网站没问题,建议到安全联盟联系客服处理,申请解封,解决问题才是王道,给楼主个传送门: http://www.anquan.org/seccenter/appeal_verify/

最后,把网址贴出来看看把,我帮你看看是否真的有恶意内容,你不贴表示真心帮不了你。

扩展阅读:
http://zhuanlan.zhihu.com/fooying/19706777
http://zhuanlan.zhihu.com/fooying/19705511
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1006 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 13ms · UTC 18:29 · PVG 02:29 · LAX 10:29 · JFK 13:29
Developed with CodeLauncher
♥ Do have faith in what you're doing.