Javachichi的博客

总的来说改动还挺多，最核心的改动还是默认使用KRaft模式运行。和也有一些改动，具体参考官网吧黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」「在看」「赞」**网络安全/渗透测试法律法规必知必会****

如果说程序员的世界存在"真香定律"，Cursor的横空出世就是最生动的注脚。最近在GitHub Trending和开发者论坛上，这个神秘工具持续霸榜，引发了一场现象级讨论——资深架构师惊叹"它重构了我的开发流程"，全栈工程师直呼"Debug效率提升300%"，就连硅谷的Tech Lead都在Twitter上发文：“现在招人标准要加上’精通Cursor’这一条了”。官方文档GitHub Copilot 和 Tabnine 是最通用的选择，支持多种编程语言。

看似只是一个关于“轮询还是SSE”的争论，背后却折射出了前后端之间深刻的思维差异。前端和后端的工作本质上是对立的：我们前端关注的是用户体验和表现，而后端更关注的是系统性能和稳定性。这种目标的不同导致了我们在技术选型上的分歧。

特性export（命名导出）（默认导出）名称需要指定具体名称无需名称，导入时自定义数量可多个只能一个导入方式适用场景导出多个相关值导出模块的主要功能绑定行为实时绑定值固定（对象为引用）选择export还是如果模块有多个导出，使用export。如果模块只有一个主要导出，使用。在 React Router v7 中，推荐使用命名导出以适应其约定和工具链要求。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。

视图（View）是SQL中的一种数据库对象，它是一个虚拟表，由查询语句的结果集构成。视图并不在数据库中以存储的数据值集形式存在；实际上，视图是一条保存的SELECT查询，当用户或应用程序查询视图时，数据库引擎执行这个保存的查询来返回数据。简化复杂的查询：视图可以包含复杂的JOIN、子查询等操作，使得最终用户无需理解底层表结构的复杂性。抽象化数据层：通过视图，可以向用户提供一个简化的接口来访问数据，而隐藏实际的数据结构和复杂度。安全控制。

反序列化其实就是序列化的逆向过程，如果你看懂了序列化的关键代码，那么看这个过程就不会很难，下面贴出关键代码做出分析这里能够看到会根据反序列对象的具体类型分别做不同的处理，我们当前的对象是 User 对象所以会进入箭头指向的方法。

1、在这个密码重置模块里面，只需输入手机号和手机验证码即可进入修改密码界面，看到这个界面，很多人会尝试暴力破解，但会发现验证码仅能使用一次，爆破成功，但输入的时候已经失效了，怎么办？5、这里，我们利用系统的另一个缺陷，因对手机验证次数没有限制，遍历000000-999999区间，暴力破解手机验证码，成功后返回success。我们注意到返回的是失败，如果返回成功，是什么样子呢？实现一个业务功能，也有着很多不同的实现方式，当业务逻辑考虑不严谨的时候，同一个业务功能模块之下，存在着很多漏洞场景。

简单总结一下。纯血鸿蒙本身目前无法平替Android或者iOS手机。应用生态的缺口仍然比较大。开发原生鸿蒙应用对开发团队来说成本很高。跨平台框架是鸿蒙应用生态快速发展的破局之道。目前鸿蒙已经支持Flutter框架。但是对于Flutter + 原生模式的三方插件需要开发者主动适配鸿蒙系统，目前数量较少。最后作为一个开发者，希望写一套代码可以运行在所有平台上，不用熬夜加班去适配。如果看到这里的同学对客户端开发或者Flutter开发感兴趣，欢迎联系老刘，我们互相学习。

肯定是有人修改了这里的业务逻辑才会这样，只有在做产品需求，代码优化的时候才会去改以前的代码。稍微上点复杂度，来写个组件的单测，比如一个用户信息展示组件，叫 UserInfoBlock，支持设置头像的大小，点击名字支持跳转到个人主页，组件代码大致长这样。首先这个测试的收益不高，因为这是一个很简单的组件，五分钟写完，但是写这个测试需要翻倍的时间，因为需要构造数据，之前没有经验不知道要加。是什么，断言这个没用，因为别人改了链接，你的测试也一样会过，应该断言成功的打开了用户主页，比如断言一个必定会存在的文字。

如果说程序员的世界存在"真香定律"，Cursor的横空出世就是最生动的注脚。最近在GitHub Trending和开发者论坛上，这个神秘工具持续霸榜，引发了一场现象级讨论——资深架构师惊叹"它重构了我的开发流程"，全栈工程师直呼"Debug效率提升300%"，就连硅谷的Tech Lead都在Twitter上发文：“现在招人标准要加上’精通Cursor’这一条了”。官方文档GitHub Copilot 和 Tabnine 是最通用的选择，支持多种编程语言。

SQLAlchemy 的事件监听器是实现通用字段动态注入的核心机制。简单来说，事件监听器就像是数据库操作的 “隐形守护者”，它可以实时监视特定的数据库操作，如查询、插入、更新和删除等。并且，在这些操作发生的关键时刻，事件监听器能够自动执行我们预先设定的操作。在本文所讨论的场景中，我们主要利用before_execute事件，这个事件会在 SQL 语句执行之前被触发，这就为我们提供了一个绝佳的时机，让我们可以动态地修改 SQL 语句和参数，从而实现通用字段的注入。

SQL预编译是一种有效的防止SQL注入攻击的方法。要理解这一点，我们首先需要了解什么是SQL注入攻击，以及预编译如何防止这种攻击。首先，让我们来看看什么是SQL注入。简单来说，它就像一个不速之客闯进你家中，并且他知道如何打开你所有的锁。在数据库世界中，“家”就是数据库，“锁”则代表了数据安全性。“不速之客”则代表了恶意用户或黑客。

SQL注入攻击是一种常见的网络攻击手段，攻击者通过在应用程序的输入字段中注入恶意SQL代码，试图欺骗数据库执行未授权的命令。这种攻击可以读取敏感数据、修改数据库中的数据、执行管理员操作，甚至在某些情况下可以完全破坏数据库。SQL注入是一种严重的安全威胁，它可以通过操纵应用程序的输入来破坏数据库的安全性。通过使用参数化查询，我们可以有效地防止SQL注入攻击，保护应用程序和数据的安全。开发者应该始终对用户输入进行严格的验证和清理，并使用安全的最佳实践来构建应用程序。黑客/网络安全学习路线。

Hello，各位Pythoner！写代码是一件快乐的事，前提是你能搞明白那些“高深莫测”的Python知识点。今天，我们不整那些教科书式的晦涩定义，用最通俗的语言、最搞笑的例子，把这些知识点给你掰开了揉碎了讲明白。🤓这篇文章，轻轻松松带你飞！🚀。

P\w+)>.*?</(?P=tag)>"text = “contenttextanotherprint(result) # 输出：[(‘div’,), (‘p’,)]

在 Python 3.8 以后的版本中，异步编程变得越来越重要。本文将系统介绍 Python 标准库中的异步编程工具，带领大家掌握asyncawait语法和asyncio的使用。

本文以渗透的视角，总结几种个人常用的内网穿透，内网代理工具，介绍其简单原理和使用方法。nps是一款轻量级、高性能、功能强大的内网穿透代理服务器。目前支持tcp、udp流量转发，可支持任何tcp、udp上层协议（访问内网网站、本地支付接口调试、ssh访问、远程桌面，内网dns解析等等……），此外还支持内网http代理、内网socks5代理、p2p等，并带有功能强大的web管理端。一台有公网IP的服务器（VPS）运行服务端（NPS）一个或多个运行在内网的服务器或者PC运行客户端（NPC）

Kali Linux是一个基于Debian的Linux发行版，旨在进行高级渗透测试和安全审计。Kali Linux包含数百种工具，适用于各种信息安全任务，如渗透测试，安全研究，计算机取证和逆向工程。Kali Linux由公司Offensive Security开发，资助和维护。Kali Linux于2013年3月13日发布，Kali的前身是基于BackTrack Linux，自上而下的重建，完全符合Debian开发标准。Kali的优势和特性：1、包括900多种渗透测试工具。

reGeorg是reDuh的继承者，利用了会话层的socks5协议，结合Proxifier使用效率更高，Proxifier是一款功能非常强大的socks5客户端，可以让不支持通过代理服务器工作的网络程序能通过SOCKS代理。接下来，可以通过proxification Rules添加规则，此处添加firfox可执行文件，添加完成以后该工具的通讯流量会经过socks5代理工具进行传输，执行结果如下所示，可以通过firefox访问目标网站。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

OneForAll是一款功能强大的子域收集工具。

人们通常把某项互联网业务的发展分为四个时期：初创期、发展期、竞争期和成熟期。在初创期通常求快，系统能买就买，能用开源就用开源，能用的就是好的，先要活下来；到了发展期开始堆功能和优化，要求能快速实现需求，并有余力对一些系统的问题进行优化，当优化到顶的时候就需要从架构层面来拆分优化了；进入竞争期后，经过发展期的快速迭代，可能会存在很多重复造轮子和混乱的交互，此时就需要通过平台化、服务化来解决一些公共的问题；最后到达成熟期后，主要在于补齐短板，优化弱项，保障系统的稳定。

（大家总是到处使用一样的密码），所以明文密码泄露之后，再使用撞库攻击，还能得到其他网站的用户密码，对用户造成更严重的危害。在做数据的存储方案时，我们需要假设储存的数据已经被泄露出去了，如用户密码这种隐私数据的存储就是一个重点。在这种储存方式下，一次运算出的彩虹表可以被使用无数次，均摊到每个网站的每个用户的成本是极低的，所以至今仍然有很多服务器在孜孜不倦地运算着md5哈希的彩虹表。（大家喜欢使用简单好记的密码），所以试着计算出一个常用范围内的所有字母组合的哈希的彩虹表，可以破解绝大多数人的密码。

本人在挖掘漏洞的过程中，遇到的逻辑漏洞还是比较多的，其中就有不少短信轰炸漏洞。今天就以我挖掘到的一些短信轰炸漏洞为例子，主要是分享一些思路，还请大佬们多多包涵。由于实际到真实厂商，对一些敏感信息进行了打码，大家伙看看思路即可。短信轰炸漏洞，顾名思义就是可以无限制地发送短信，原理由于短信业务逻辑设计缺陷，没对短信发送次数做限制，导致可以大量重复发送短信验证码。该漏洞会对其他用户造成骚扰或使厂商的运营商短信费用的增加，造成损失。

​​本文已参与「新人创作礼」活动，一起开启掘金创作之路。

在未被授权的情况下，以破坏软硬件设备、窃取用户信息、扰乱用户心理、干扰用户正常使用为目的而编制的软件或代码片段。这个定义涵盖的范围非常广泛，它包含了所有敌意、插入、干扰、讨厌的程序和源代码。一个软件被看作是恶意代码主要是依据创作者的意图，而不是恶意代码本身的特征。

​​本文已参与「新人创作礼」活动，一起开启掘金创作之路。

天眼实验室再次提醒用户，此类恶意软件主要依赖通过微软的Office文档传播，用户应该确保宏不默认启用，提防任何来自不受信任来源的文件，当打开文件系统提示要使用宏时务必慎重。同时要尽量选用可靠的安全软件进行防范，如无必要不要关闭安全软件，当发现系统出现异常情况，应及时查杀木马，尽可能避免各类恶意代码的骚扰。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。

Xcode 是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具（IDE），是开发OS X 和 iOS 应用程序的最主流工具。2015年9月14日起，一例Xcode非官方版本恶意代码污染事件逐步被关注，并成为社会热点事件。多数分析者将这一事件称为“XcodeGhost”。攻击者通过对Xcode进行篡改，加入恶意模块，并进行各种传播活动，使大量开发者使用被污染过的版本，建立开发环境。

观察.asm文件的格式，开头部分其实是IDA生成的一些信息，如下图所示可以目测这个长度已经超出了800个像素(800个字节)，实际上这800个像素和反汇编代码没有关系！完全就是IDA产生的一些信息，更进一步的说，实际上冠军队伍的方法压根与恶意代码图像没有关系，实际上是用到了IDA产生的信息。但是仔细观察这些IDA信息，貌似长的都差不多，也没有什么有价值的信息，为什么可以有效区分恶意软件类型呢？一个大胆的猜想。

此前，我们介绍了很多深度学习基础模型，今天探讨它们各自适用的场景，让您知道在何种情况下选择何种模型；同时分析它们的优势与局限，助您全面评估这些模型的性能。

Web渗透不仅是技术的学习，更是思维的锤炼。通过本文的路线规划，结合每日8小时的高强度训练，你将在6-12个月内具备初中级渗透测试工程师的能力。合法授权是渗透的底线，技术向善是安全人的初心。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

那么能怎么办呢——域内爆破，网上很多教程都是直接登录的administrator用户，直接用CS提权成功（上线的时候就是administartor），并没有完整的复现出来从一个最普通的用户上升到系统权限的教程，本篇文章也没有复现出来，复现过程可以参考一下。，查看一下配置文件，注意这里是windows的frp，我用的版本是0.39.1，去github翻一翻历史版本的，新版本可能会出问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

本文发布的工具和脚本，仅用作测试和学习研究，禁止用于商业用途，不能保证其合法性，准确性，完整性和有效性，请根据情况自行判断。如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利，则应及时通知并提供身份证明，所有权证明，我们将在收到认证文件后删除相关内容。文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用，任何人不得将其应用于非法用途及盈利等目的，间接使用文章中的任何工具、思路及技术，我方对于由此引起的法律后果概不负责。**添加星标不迷路**

以前叫 BackTrack ，基于 Debian 的一个 Linux 发行版，常用于安全领域，而且支持 ARM 架构，系统升级也很平滑，这就是大名鼎鼎的 Kali Linux。官网介绍 Kali Linux 是一个开源的、基于 Debian 的 Linux发行版，面向各种信息安全任务，如渗透测试、安全研究、计算机取证和逆向工程。Kali Linux 目前发布最新版本 2024.4 ，小版本的平滑升级，主要更新内容如下：更多的升级信息可以去官网查看具体说明。

Kali 和 Parrot 都属于网络相关的Linux发行版，虽然他们同出一源Debian，但还是略有不同。

给大家分享一个效果很棒的文本转语音开源模型：MaskGCT！这是由港中大（深圳）联手趣丸科技联合推出了新一代大规模声音克隆。与先有的文本转语音模型相比，话不多少，直接点开下面视频看看效果。可以点开如下视频听听声音模仿的效果，预期、停顿、音色还原的都非常好PS：请忽略背景中 dangdang 的杂音，是我在录制的时候我家猫在扒柜子可以通过声音来辨别人目前处于何种情绪状态，比如愤怒、开心、恐惧等。MaskGCT 对此也实现了精准模拟，请看如下这个例子。咖喱味儿、大舌头的发音，也能精确模拟。

Ollama的安装基于CPU运行基于GPU运行经测试，DeepSeek R1:7b大模型在10G以上显存的环境可以很流畅，使用GPU需要先配置依赖环境

今天和大家分享一个重磅消息——Cloudflare最近推出了一项创新服务，即所有的大型机器学习模型现在都可以免费使用了！**Cloudflare一直以来都致力于推动互联网技术的发展，使其更加开放、安全、快速。此次免费开放大模型使用的举措，不仅降低了技术门槛，让更多的人能够接触和利用最前沿的人工智能技术，同时也预示着我们正在步入一个AI更加普及和便捷的新时代。让我们测试一下各种大模型的表现怎么样。先测试一下最新的Llma3 8b大模型。

Ollama是一个开源的大型语言模型（LLM）服务工具，它的目标就是简化在本地运行大语言模型的过程。不管你有没有GPU，只要你的电脑满足基本配置，就能用Ollama轻松部署像Llama3、Phi4、Gemma2、DeepSeek等超火的大模型。它不仅开源免费，还提供了一个超简单的命令行界面和服务器，让你能够轻松下载、运行和管理各种开源LLM。目前在Github上收获了119K star！

等相关操作，跳出了程序本身的限制目录，然后再利用文件下载功能，使前端下载请求可以下载服务器中的任意文件。文件读取漏洞，就是攻击者通过一些手段绕过应用程序的限制读取到服务器上开发者禁止读取的文件。主要读取的文件是服务器的各种配置文件、文件形式存储的密钥、服务器信息等。/就是下载网站的首页文件，不加下载的就是files目录下的index.php。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」3.查看网站的下载、读取、删除等功能点，修改参数值进行测试。