Javachichi的博客

欧氏距离是指n维空间中两个点之间的真实距离，或者向量的自然长度（即该点到原点的距离）。首先需要避免上面提到的插件的缺点，即对渐变图片要做好处理，不能取出成千上万的颜色，体验太差且实用性不强，对于渐变色还有一点，即在渐变路径上，每一点的颜色都是不一样的，所以需要将他们以一个阈值分类，挑选出一众相近色，并计算出一个平均色，这样就不会导致主题色太精准进而没有代表性。可以发现，这些插件主要功能就是取色，并没有考虑实际的应用场景，对于一个图片颜色分析工具来说，他们做的很到位，但是在大多数场景中，他们往往是不适用的。

总的来说改动还挺多，最核心的改动还是默认使用KRaft模式运行。和也有一些改动，具体参考官网吧黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」「在看」「赞」**网络安全/渗透测试法律法规必知必会****

大家好，我是二哥呀。有没有发现？不知不觉中，阿里巴巴已经完成了从电商巨头到硬核科技公司的蜕变。第一个标志事件，一向挑剔的苹果宣布和阿里合作，一起为国行版 iPhone 提供 AI 技术服务。第二个标志事件，DeepSeek R1 蒸馏了 6 个模型开源给社区，其中有 4 个来自阿里的 Qwen。第三个标志事件，阿里云为开发者量身定制的通义灵码插件，也在第一时间集成了 DeepSeek-R1 满血版。

前几天，老板和我们开了个会，提到一个让人深思的事情：越来越多的客户开始询问，能不能把DeepSeek接入他们的系统，帮助他们管理数据、合同和一些文件。那一刻，我突然意识到，AI技术已经不仅仅是个高大上的话题，它正在切实改变着我们工作和生活的方式。客户的需求很简单，但背后却透露着一个深刻的问题——他们希望通过AI来提高效率、减少错误。对于很多传统企业来说，信息的混乱和管理的漏洞已经成为不可忽视的痛点。想象一下，如果这些企业能够通过。

SQL预编译是一种有效的防止SQL注入攻击的方法。要理解这一点，我们首先需要了解什么是SQL注入攻击，以及预编译如何防止这种攻击。首先，让我们来看看什么是SQL注入。简单来说，它就像一个不速之客闯进你家中，并且他知道如何打开你所有的锁。在数据库世界中，“家”就是数据库，“锁”则代表了数据安全性。“不速之客”则代表了恶意用户或黑客。

◀Blind XXE。

引言说到安全态势感知，很多人觉得很神秘，很牛牛的那种，基本上现在但凡正规的网络安全建设都离不开他，同时呢又觉得很模糊，到底能干啥，又干了啥，反倒说不清楚，很是矛盾。这也难怪，因为安全态势感知确实复杂，而且发展的很快，今天我们主要聊一聊安全态势感知产品的前世今生。态势感知的出现是网络安全防御发展的必然互联网发展的历程中，很长一段时间大家对网络安全是不关注的，至少是不那么关注的。即使当前也有很大一波人其网络安全意识仍然很淡薄。随着网络攻击影响的范围越来越大，产生的损失越来越多，网络安全才被大家接受和认可，从而逐

本文研究了基于态势感知技术的政务云安全防护体系建设，从态势感知、态势理解和态势预测方面解决了海量、多源、异构安全数据采集和处理的难题，构建了基于 SA-GRU 的政务云安全态势神经网络训练模型，实现对安全态势定量评估，设计包括态势感知联合防火墙自动布防、态势理解加强网络安全保障和态势预测建立自适应安全防御 3 个子系统的安全平台，实现对政务云上信息系统安全态势的监测预警、检测、防护及安全能力的全面提升，保证云上系统数据安全，提高了政务云平台服务能力和安全管理人员的工作效率。（1）攻击源和攻击类型实时监测。

春节期间最火爆的新闻是DeepSeek，没有之一，这则消息足以震动全球。它是一款国产的开源大模型，APP登顶苹果中国区和美国区应用商店免费下载排行榜。其实早在去年12月份就发布了v3模型，但当时并不火，直到今年1月份发布了对标OpenAI-o1的推理模型r1，短短几天时间火爆全球。由于免费开源，且训练成本大幅下降的情况下达到差不多的效果，这在AI行业引发的广泛的关注和讨论，市场对以英伟达为首的「大力出奇迹」的训练方式产生了质疑，认为通过对模型的优化可以减少对高端芯片的需求，英伟达股价也因此暴跌。

参会嘉宾（右）在 2024 世界计算大会体验 AI 视频生成（2024 年 9 月 24 日摄） 陈振海摄 / 本刊大模型应该开源还是闭源？开闭源对应两种软件开发模式——开源指开放源代码，将源代码公开发布并允许任何人查看、修改和使用；闭源则不公开源代码，只对外发布编译后的软件。2022年底ChatGPT横空出世，大模型开闭源路线之争如影随形。今年，国内大模型应用加速落地，开闭源争论愈发激烈。4月，百度创始人李彦宏公开表示“开源模型会越来越落后”；

Nginx 是一个强大的 Web 服务器和反向代理，关于Nginx 重写或拦截 HTTP 消息功能的，是通过HTTP路径名部分的特定字符串或正则表达式触发的规则来控制。在 Nginx 中，“location”规则能够根据请求的 URL 定义特定的指令和行为。此规则充当路由和处理传入 HTTP 请求的关键组件，允许控制不同 URL 的处理方式。这段 Nginx 规则是拦截/admin端点的所有访问，因此如果用户尝试访问此目录，Nginx 将返回403并拦截掉这个HTTP请求。

简而言之，BOA是一个轻量级的HTTP服务器，主要设计用于嵌入式系统，以高效的性能和小巧的代码体积著称，通常被应用于资源受限的设备，例如路由器、智能家居或者其他的嵌入式环境。本文的主要贡献是从源码小结了BOA的状态机，结合经验和源码提出了快速恢复BOA请求结构体的方法，以及结合三个典型的BOA认证前漏洞，提供了对BOA进行漏洞挖掘的一般方法，文中给出了案例的固件下载链接，感兴趣的师傅可以尝试交流。在二次开发中，经常将鉴权相关的逻辑集成到这个函数中，因此很多师傅对BOA进行漏挖的时候会直接定位到这个函数。

本人在近期实战时也是挖到了任意文件下载漏洞，想着如何对此漏洞进行最大化利用，遂花了点时间去学习此漏洞的利用，发现网上知识点过于分散，正好看到社区这方面的知识很少，于是就想着自己写一篇关于任意文件读取的漏洞文章。以上一些利用思路，核心思想不过与对数据的获取或者是权限的获取，黑客的目的也不过如此，数据和权限这两者其实是可以互相转换的，当一个无法进行利用时，那么可以转换一下思路对另一个进行利用。

同时，提供设备管理、网络管理、业务管理、视频系统运维、CMDB、ITSM、运维管理、机房管理、移动运维、云运维、3D可视化等运维功能，支持各系统间的运维数据关联共享，从全局视角把控系统运行态势。**关于监控易：**监控易是美信时代自研的分布式、一体化运维管理平台，采用多TS架构，集中统一实现IT软硬件、机房动环、智能物联网等的自动采集、监测、巡检、告警及展现。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」木马免杀问题与防御********必知必会。

网络设备作为Netflow的客户端，主动向Netflow服务端上报流量采样数据，服务端对流量数据进行解析，提取二层MAC，三层IP，四层协议类型和端口号信息，然后对这些信息进行分类统计，可获得网络的通信流量和资源使用情况。随着企业数字化转型、算力网络等趋势发展，业务SLA要求越来越高，业务类型也逐渐丰富及多样，这对IP网络业务流量监控及分析提出了更高的要求，网络运维需要知道网络流量从哪里来，到哪里去，流量有多大等信息，以保障网络的稳定性。比如，黑盒子里面的数据都在干什么，谁发出的，到哪里去，流量有多大？

因为这个打开的html网页已经存到我的临时文件夹里了，临时文件夹里的html是纯文本文件，纯文本文件自然可以查看网页的源代码。JavaScript 引擎会解释并执行 JavaScript 代码，根据 JavaScript 代码修改文档对象模型（DOM），以及更新渲染树（Render Tree）和网页的呈现。2） 你们公司就是中文网页，极度的追求网页的显示速度，要使用gb2312。最常用的Unicode编码方案是UTF-8，它使用可变长度的编码方式，根据字符的不同而使用不同长度的字节序列。

按照我的想法，我把前端工程师分为了入门、初级、中级、高级这四个级别入门级别指的是了解什么是前端（前端到底是什么其实很多人还是不清楚的，底什么是前 端后端、后台），了解基本的html、css和javascript语法（这些语方面的东西网上随便搜一下就有很多很多，基本的语法是整个技术体系最重要 的东西了，领先的 Web 技术教程 ），可以根据设计师的设计图在不考虑兼容性的情况下把页面做出来，了解过一些框架的使用（例如烂大街但是依然牛逼的jQuery、zepto、 bootstrap等等）。

作为一名奋战在IT运维一线10余年的工程师，我深知系统日志分析对很多同学来说就是天书。据统计，65%的系统故障其实只要掌握正确的日志分析方法，5分钟就能定位问题所在。

#DeepSeek的本地部署把大模型部署在自己的电脑上，有很多好处，但我要先泼一盆冷水。如果你之前没用过AI产品，或者平时用AI也不多，不推荐搞本地部署。有更简单的方法，可以让你用上AI。想用DeepSeek，可以直接在手机的软件商城，下载DeepSeek的手机APP。或者用浏览器，搜索DeepSeek的网页版。这样是最简单的，并且背后的AI都是一样的。本地部署适合以下情况：① 电脑配置较高，有独立显卡。② 有私密的数据需要处理，担心泄密。③需要和本地工作流结合，处理高频任务或复杂任务。

当今时代，网络信息技术日新月异，已全面融入我们的工作和生活中，但网络在极大促进经济、社会发展的同时，也带来了前所未有的风险挑战，留下了不容忽视的风险隐患，关注网络安全，加强警惕意识，提升防范技能，是我们每个人的责任和义务。下面让我们一起来了解网络安全知识吧一信息网络安全类🔺**常见错误情形：**内网电脑在连接内网的同时，通过双网卡或无线网卡同时连接外网。🔺**常见错误情形：**内网电脑在断开内网后，通过网卡或无线网卡连接外网。🔺**常见错误情形：**一是外网电脑通过内网网线接入内网；二是私自将内网进行

大模型就像一座庞大的图书馆，里面有非常多的书籍。但与普通图书馆不同的是，这座图书馆中的每本书都是关于不同事物的描述和知识。而这些书籍中的每一页都代表了这个事物的一些特征或细节。现在，想象一下，你是一个研究员，你想了解各种各样的话题，比如天气、历史、科学等等。但是你没有时间和精力去阅读所有的书籍，而且有些书籍可能非常专业和深奥，你也未必能理解。这时，一位聪明的朋友建议你去一座巨大的图书馆，这个图书馆里面的每本书都已经被一个智能的读者阅读过，并且将书中的重要内容总结成了简单易懂的概要。

SQL 注入攻击是 Web 网络系统上非常常见的一种攻击！黑客通过将恶意的 SQL 查询或者添加语句插入到应用的输入参数中，然后在后台 SQL 服务器上解析执行进行程序攻击！哪黑客具体是如何将恶意的 SQL 脚本进行植入到系统中，从而达到攻击的目的呢？现在的 Web 程序基本都是三层架构，也就是我们常说的 MVC 模式：表示层：用于数据的展示，也就是前端界面业务逻辑层：用于接受前端页面传入的参数，进行逻辑处理。

大模型” 爆发至今已有 2 年的时间，行业持续火热，模型基础能力持续升级。2024.9. OpenAI 发布的 “O1” 模型为领域再一次带来了新的突破，期间多模态也持续展现了令人惊喜的发展。于此同时，成本的降低与效率的提升也在持续进行，让大模型融入到了更多的场景之上。

数组：介绍数组的定义、初始化、遍历和排序等基本操作，以及数组函数的使用（如sort、asort、array_push等）。开发环境搭建：包括PHP解释器的安装、配置开发环境（如WAMP、LAMP等）、集成开发环境（IDE）的选择和使用等。数据类型与变量：讲解PHP中的基本数据类型（整型、浮点型、字符串、布尔型等），变量的定义、初始化、作用域和命名规则。大白也帮大家准备了详细的学习成长路线图。文件操作：学习文件的读取、写入、上传和下载等基本操作，了解文件系统的基本概念和文件处理函数的使用。

1.2 了解set命令和Windows变量在cmd中set用来进行变量赋值，而%%括起来的变量会引用其赋的值。这样就可以进行命令执行了也可以赋值多个变量，拼接利用也可以与1.2的内容进行合并也可以在赋值的时候加入空格当使用cmd /V:ON或cmd /V:O时可以不使用call命令来扩展变量，使用 %var% 或!var!来扩展变量，!var!可以用来代替%var%1.3 Windows切割字符串拿whoami举例，实践Windows切割字符串的语法由此可以看出来截取字符串的语法为。

如今大模型百花齐放，关于大模型的文章也非常多，但是介绍如何从0开始构建自己的大模型的介绍比较少，本文系统性地介绍了如何选择合适的基座模型，以及如何使用自己的数据微调大模型。下面给大家分享一份2025最新版的大模型学习路线，帮助新人小白更系统、更快速的学习大模型！因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取2024最新版CSDN大礼包：《AGI大模型学习资源包》免费分享**

1.招聘系统简历上传点，招聘系统有概率会有让你上传你的作品或者成果的上传点，比如应聘程序员会让你上传你开发的作品，可以试试传一些别的文件上去。2.通过漏洞发现供应商寻找通用的漏洞。3.资产足够，一定要写满10个案例！！！！！可以的话一定要利用漏洞展示出最大的危害。申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.黑客/网络安全学习路线。

最近RAG热度不减，微软开源了GraphRAG，很是火爆呀，本着学习的态度，我也部署使用了一下，无奈没有梯子，不能用openAI，于是想着能不能使用本机的模型，替换openAI的 llm和embedding模型，说干就干，整个过程真是曲折，踩坑不少，但最终 结果还是好的，终于完美部署到本机使用了，哈哈，下面来给大家分享一下，自己也记录一下，以免后边再使用时重复进坑。本人也搞了一个RAG项目，非常适合学习，自用，二次开发，欢迎stargraphRAG的安装还是很简单的，直接pip。

HW行动作为国家级网络安全攻防演练的重要环节，对安全工程师的技术能力和实战经验提出了极高要求。本文结合近年护网面试高频考点与实战经验，整理出，涵盖渗透测试、漏洞分析、防御技术、应急响应等方向，助力从业者系统备战。nslookup• 客户端绕过（如修改JS后缀检测）• 服务端绕过（MIME类型、文件头、路径解析漏洞）• 结合目录穿越或.htaccess文件控制。•：联合注入、报错注入、盲注（时间/布尔）、堆叠注入。•：大小写混淆、内联注释（/*!*/）、编码（十六进制/URL编码）、分块传输。

简介WireShark是非常流行的网络封包分析工具，常被用于检测网络问题，攻击溯源，报文分析等工作。wireshark使用winPCAP作为接口，直接与网卡进行数据报文交换。通常被用于开发测试过程中定位问题。主要用于Windows上抓包。wireshark抓包原理主要基于网络接口的数据包捕获机制，调用网络库（如 libpcap）将网卡设为混杂模式，捕获所有流经网卡的数据包，再通过协议解析器对数据包进行解码和展示，最终生成可视化的网络数据流。

可能会有很多人觉得渗透测试门槛很高，学习周期长，似乎只有天赋异禀者方能涉足。实则不然，渗透测试行业虽有其专业门槛，但绝非如外界渲染的那样高不可攀。归根结底，所需的基础不过是扎实的编程语言功底，同时还需要一定的耐心，屁股能坐的住。所以无论是想从事渗透测试这行还是网络安全其他方向，关键点在于你是否愿意沉下心在行业里慢慢学习，慢慢成为人家眼里的大佬，这才是最重要的一点。那么，对于想学渗透测试的朋友来说，如何能快准狠的学到知识，并且能胜任渗透测试一职的岗位呢？

Node.js是一个基于Chrome V8引擎的JavaScript运行环境。Node.js使用了一个事件驱动的、非阻塞式I/O的模型，轻量又高效，它的底层是用C/C++编写。Node.js不仅可以用于前端浏览器开发，还可以用于服务器端的开发，它允许开发者使用 JavaScript 语言在服务器端构建高性能、可伸缩的网络应用程序。Node.js 在 Web 开发、后端服务、实时应用、大规模分布式系统等领域都有广泛应用，成为了现代 Web 开发的重要工具之一。2.也可以下载历史版本，点击downloads。

Schindel表示，受新Aviatrix漏洞影响的组织最佳应对策略是尽快应用该漏洞的补丁。云攻击者正在大肆利用名为Max - Critical Aviatrix RCE漏洞（编号CVE-2024-50603），此漏洞在CVSS评分中高达10分（满分10分），能够在受影响系统上执行未经身份验证的远程代码，网络犯罪分子借此漏洞植入恶意软件。他表示：“尽管在某些情况下，所使用的有效载荷和基础设施表明在一些案例中有更高的复杂性，但大多数尝试看起来像是广泛的扫描，而非针对特定组织的高度定制化或者有针对性的攻击。

ChatGPT的出现在全球掀起了AI大模型的浪潮，2023年可以被称为AI元年，AI大模型以一种野蛮的方式，闯入你我的生活之中。从问答对话到辅助编程，从图画解析到自主创作，AI所展现出来的能力，超出了多数人的预料，让不少人惊呼：“未来是属于AI的”。AI大模型——成为互联网从业者必备技能。

Android Studio 是谷歌推出的一个Android集成开发工具。基于IntelliJ IDEA. 类似 Eclipse ADT，Android Studio 提供了集成的 Android 开发工具用于开发和调试。

网络安全就业的岗位较多，一般普通开岗位的工作都可以做，除此之外，国家政府机关、银行、保险、证券等金融机构都有相应的工作岗位，从事安全产品研发、安全分析与设计、安全技术咨询服务等工作。由于有些知名度比较高的网站，每天的工作量和资料信息量都是十分庞大的，所以在网站正常运行状态中肯定会出现各种问题，比如一些数据丢失甚至是崩溃都是有可能出现的，这个时候就需要一个网站维护人员，而我们通过网络安全培训学习内容也是工作上可以用到。需要用到数据库、网络技术、编程技术、操作系统、渗透技术、攻防技术、逆向技术等。

点击上方「安全猫联盟」关注在安全生产管理过程中，政府发布的政策和文件经常提到“安全检查”和“隐患排查”。虽然这两个术语在表面上看起来相似，但它们在实施过程中有着什么样的区别呢？安全检查是一种预防性的、定期的安全审核活动，而隐患排查则是一种更为深入的、针对性的风险评估和缓解措施。在探讨安全生产管理中的关键措施时，我们经常遇到“安全检查”和“事故隐患排查”这两个概念。尽管它们的目标都是预防事故和提高安全性，但它们的侧重点和执行方式有所不同。

熟练掌握Linux中的各种命令和对日志的分析是运维的基础。通过这些命令和技巧，我们可以有效地管理系统、诊断问题并保护系统免受安全威胁。当然本文也是简单的进行了说明。更具体的用法还要结果真实的生产环境决定。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

条例》的出台，标志着我国数据安全法规体系的进一步完善，对我国强化数据安全和个人信息保护、保障数据要素有序开发利用、促进数字经济健康有序发展意义重大。让我们一起来学习《条例》的主要内容，进一步筑牢我国网络数据安全防线，以高水平安全护航网络强国建设。对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」木马免杀问题与防御********必知必会。来源：“国家安全部”微信公众号。

通过以上案例通报，促进企业提高自身网络安全防护能力，减少网络安全事件的发生，强化企业主体责任，保障工业生产的连续性和稳定性。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」（三）建立应急响应机制：制定详细的应急预案，包括如何快速识别和隔离受感染的系统，以及如何恢复生产。事件经过：黑客通过钓鱼邮件获取了企业内部员工的登录凭据，进而入侵了企业的工业控制系统。（七）供应链协同：加强与供应商的信息共享和协同合作，提高供应链的透明度和响应速度。