文章

字节SKILL攻防比赛总结

0x00 前言

刚好参加了该比赛,侥幸拿了赏金2K,实际没什么技巧,小声BB:感觉字节在这个比赛花了冤枉钱。

0x01 我的思路:

蓝队检测:以OWASP总结的AST01-10,生成HTML喂给AI,然后收集了大量互联网公开的恶意skills样本(大概3K多),让AI不停的根据分数对代码进行迭代。

红队攻击:把自己的想法思路给AI,然后AI按照比赛要求生成,提交得分,按照评分结果让AI进行优化。

0x03 冠军分享

因为我并没有取得什么好的名词,所以特地观看了直播分享

https://www.volcengine.com/live/event/force-2606-session-AISecurity

直接来看两个赛道第一名的分享:

红队绕过思路:

听下来主要就是把各种恶意行为都加进来了,然后通过编码隐藏恶意的字符

蓝队检测思路:

抛开独立的静态特征扫描,改为静态行为的判断,听起来也是通过硬编码的方式进行识别,只是通过不同内容判断不同的行为,结合置信度进行打分最终得分样本是否恶意。