自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

关注网络安全、云原生安全

关注网络安全、数据结构与算法、Python、Go

  • 博客(450)
  • 资源 (7)
  • 问答 (4)
  • 收藏
  • 关注

原创 Go-Golang学习总结笔记

资源某hub会审核不通过,自己去找吧书籍网站基础go官方中文网菜鸟教程C语言网go语言中文网golang系列视频基础安装依赖管理数据类型变量和常量流程控制函数包面向对象编程提高...

2021-04-17 10:16:20 27007 41

原创 网络安全-自学笔记

目录WEB(应用)安全前端安全xss攻击后端安全文件上传漏洞WebShell解析安全数据安全sql注入通信安全WEB(应用)安全前端安全xss攻击后端安全文件上传漏洞WebShell解析安全数据安全sql注入网络安全-sqlmap学习笔记通信安全网络-http协议学习笔记(消息结构、请求方法、状态码等)...

2020-12-01 09:28:44 154698 106

原创 【python总结】python学习框架梳理

目录基础注释与变量名等基本规则关键字操作符数字字符串条件控制序列列表元组映射集合字典函数函数基础内置函数有哪些?模块数字字符串OSlogging、argparase、cmd综合模板错误和异常面向对象提高文件操作函数式编程正则表达式网络编程多线程与多进程本专栏不适合才学python的新手,适合学过python,但总体框架不清晰的朋友。跟我一起总结提升吧!抓住三个点:操作符、、内置函数、

2020-09-23 22:46:52 27541 9

原创 OJ-OJ网站题目分类,分难度整理笔记(leetcode、牛客网)

目录前言线性表栈队列树图查找排序递归递推贪婪动态规划数论模拟简单前言目录与数据结构(严蔚敏版)与算法的实现(含全部代码)相对应,为这个专栏的实战,为了更方便,树之前使用STL进行解题,也算专栏C++ STL容器用法示例大全的实战。语言使用c++,每篇文章题目为网站-题目(难度类型),每篇文章分为题目、思路、更优题解、提升笔记、优化代码、全部代码。用于个人笔记,分享思路与代码优化。线性表栈队列树...

2020-08-28 10:07:13 23328 1

原创 数据结构(严蔚敏版)与算法的实现(含全部代码)

目录基础c/c++ 代码优化及常见错误 c语言位运算的妙用-程序优化c/c++进制转换方法汇总(含全部代码) 二进制数-北邮2012研究生复试质因子分解除树和图外的数据结构可以使用STL: C++ STL的使用数据结构线性表顺序表 循环左移(2010联考真题)单链表 单链表相邻结点逆置(2019北邮考研真...

2018-09-13 22:18:14 137096 65

原创 python-redis缓存装饰器

key生成:用户不指定key时需要自动生成,统一前缀方便后序更新、删除指定key:用户可以指定key(redis_decorator无法指定key)缓存和获取功能常见类型的缓存支持用户自定义类型可以继承抽象类,实现序列化和反序列化方法(redis_decorator没有)指定key的更新(包没有)指定或批量key的删除(redis_decorators只有删除指定key)支持协程(包没有)

2024-03-17 17:53:07 639

原创 python-mysql协程并发常用操作封装

协程异步操作MYSQL是常用的,博主这里在GitHub上找了两个包,databases和aiomysql,第一个包除了mysql外还支持其他的数据库,且操作MYSQL时底层也是使用的aiomysql,但文档内容比较少,所以选择了对aiomysql进行封装。使用安装即可。

2024-02-24 20:36:50 502

原创 网络安全-真实ip获取&伪造与隐藏&挖掘

proxy protocol没有研究,和TOA差不多,按照协议发包就行了,实现就交给读者吧。TOA的伪造方式还是不错的,非linux下没有btftools,可以自己写一个代理,把浏览器的流量转发到本地代理,代理的功能就是把TOA改一下。一些代理隐藏ip还是不错的,除非网站从开始没有使用cdn、部分使用cdn,或网站服务器有其他服务导致真实ip发出包了。该博客作者我也问了,一开始就使用了CDN,也没有其他子域名、服务,应该是无法找到真实IP了。

2023-12-31 17:21:02 3001 3

原创 云安全-wiz eks-cluster-games题解与思考

发现并不行,auience是不对的,翻到前面的限制发现audience必须sts.amazonaws.com。由于没有secrets的list权限,我们需要先通过pods来确定secret的名称。可以看到有secrets的get和pods的list、get权限。解密发现和策略的限制能对的上,那看来其实是用debug-sa的。攻击到集群,可以执行命令后,首先要做的就是查看权限,常用命令。允许列出和读取s3桶的对象,那应该就是flag对象了。进行了类似题目2的尝试,失败了,原因是没有权限。

2023-12-16 21:57:35 997

原创 数据库-PostgreSQL学习笔记

下载镜像:启动容器:腾讯云免费领用1个月学习中心-免费领取一个月博主这里选择了白嫖~~~windows下使用pgAdminlinux下使用psql腾讯云提供了网页版的连接方式,博主直接使用这个,免得安装其他的了。语法:示例:使用数据库语法例如:腾讯云上,点一下就可以了。退出当前数据库删除数据库语法:示例:语法:示例:语法:示例:插入数据通过逗号分隔values后面的数据元组,可以批量插入。除此之外,可以从已有表进行也可以使用COPY命令进行本地文件读取,然后

2023-12-03 17:21:44 1254

原创 云原生-AWS EC2使用、安全性及国内厂商对比

EC2(Elastic Compute Cloud)是AWS云中的服务器,提供按需、可扩展的计算能力。本文以Linux为例。下图是EC2的位置。Instance就是EC2,它被Security group(安全组)保护着,持久性存储使用了EBS( Elastic Block Store)。在安全组外面是子网,子网外面是VPC,VPC通过网关与外部通信。默认安全组允许所有出流量,但入流量仅允许绑定该安全组的资源。自定义安全组允许所有出流量,入流量不允许,需要添加规则来进行控制进出流量。

2023-10-29 20:15:01 1846

原创 python-kafka客户端封装

本文对python的kafka包做简单封装,方便kafka初学者使用。

2023-09-10 10:43:21 668

原创 Kafka入门,这一篇就够了(安装,topic,生产者,消费者)

任何发布到partition的消息都会被直接追加到partition尾部,每条消息的位置称为offset,offset是一个long型数字,它唯一标记一条消息。Kafka每个partition中的消息在写入是都是有序的,消费时,每个partition只能被每一个group中的消费者消费,因此,topic下只有一个partition时一定有序。topic的partition数量可以在创建时配置,partition数量决定了每个消费者组中并发消费者的。已发布的消息保存在一组服务器中,称为Kafka集群。

2023-09-10 10:42:28 746 1

原创 Python-ElasticSearch客户端的封装(聚合查询、统计查询、全量数据)

官方提供了两个客户端elasticsearch、elasticsearch-dsl第二个是对第一个的封装,类似ORM操作数据库,可以.filter、.groupby,个人感觉很鸡肋,star数也不多。平时使用的时候一般会在kibana上测试,然后直接把query拷贝过来获取更多数据,所以这里做下第一个的封装。

2023-07-30 17:04:56 1170

原创 漏洞复现-yapi远程执行命令漏洞复现

YApi 是高效、易用、功能强大的 api 管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。这里使用的JayFong的docker-YApi,WEB UI在40001端口。启动后发现管理员账号密码不对,应该是环境变量在容器中没有使用,查看配置文件找到管理员账号。网站开放注册功能时可随意注册,设置全局mock脚本可执行任意代码。通过官方文档学习如何新建接口。查看安装脚本,找到密码。

2023-07-22 16:37:21 539

原创 漏洞复现-CVE-2023-33246 Apache RocketMQ RCE漏洞原理与复现

服务端管理员调用的接口没有鉴权,且将内容直接拼接到执行的命令,没有做过滤。

2023-07-15 21:35:02 2784

原创 漏洞复现-CVE-2022-24112 APISIX远程代码执行漏洞原理与复现

由于代码逻辑问题,没有覆盖为真实ip,导致绕过了请求限制,且发送请求有默认的key,通过发送请求注册路由,并使用batch-requests插件执行了命令。

2023-07-15 11:35:43 1203

原创 JAVA-MAVEN初学者教程(配置、pom.xml、依赖管理等)

常用来定义一些版本等,后序可以使用,方便修改,类似编程时的全局变量。使用时使用${标签值即可}

2023-06-18 17:02:59 8488

原创 k8s学习-CKS考试必过宝典

使用用户工作负载的静态分析(例如kubernetes资源,Docker文件)在主机和容器级别执行系统调用进程和文件活动的行为分析,以检测恶意活动。保护您的供应链:将允许的注册表列入白名单,对镜像进行签名和验证。检测物理基础架构,应用程序,网络,数据,用户和工作负载中的威胁。设置适当的OS级安全域,例如使用PSP, OPA,安全上下文。谨慎使用服务帐户,例如禁用默认设置,减少新创建帐户的权限。检测攻击的所有阶段,无论它发生在哪里,如何扩散。考后24小时会收到结果,祝大家考试成功!

2023-06-12 21:47:34 1199

原创 python学习-代码调试器pdb的使用教程

因此,如果插入符号位于已执行的行,则程序将恢复以进一步执行,因为无法回滚到以前的断点。:如果选择此检查命令,则单独(异步)加载调试器中的变量。在这种情况下,如果加载变量需要很长时间,调试器会显示消息,如果变量太慢,则只有在调试器之后才会显示其值或消息。第二个方式优雅了一些,但有的时候就是写的小脚本,不需要保存日志,比较麻烦。单击此按钮可执行程序,直到当前方法或文件中的下一行,跳过当前执行点引用的方法(如果有)。这两个还有一些缺点,例如,打印的不够多时,还需要添加print或log,然后再次运行。

2023-06-11 15:34:33 3458

原创 k8s学习-CKS真题-日志审计 log audit

-audit-log-path 指定用来写入审计事件的日志文件路径。不指定此标志会禁用日志后端。- -audit-log-maxsize 定义审计日志文件轮转之前的最大大小(兆字节)- -audit-log-maxbackup 定义要保留的审计日志文件的最大数量。- -audit-log-maxage 定义保留旧审计日志文件的最大天数。- -audit-policy-file 指定审计策略文件。修改kube-apiserverl.yaml配置文件。

2023-05-18 19:41:11 791

原创 k8s学习-CKS真题-TLS安全配置

如果出现:Failed to restart etcd.service: Unit etcd.service not found.,可以查找kube-system下的etcd,例如。

2023-05-17 20:40:32 1003 1

原创 k8s学习-CKS真题-ImagePolicyWebhook容器镜像扫描

启用ImagePolicyWebhook插件,确认–admission-control-config-file选项已有配置文件并挂载。把defaultAllow由true改为false。考试时应该已经挂载,可以检查一下,没有自行添加。在cluster下添加server。修改api-server配置文件。做题的时候按照以下顺序。不完整的准入配置文件。修改kube配置文件。

2023-05-17 20:25:26 1176

原创 k8s学习-CKS真题-利用AppArmor进行应用行为限制

在 cluster 的工作节点 node02 上,实施位于 /etc/apparmor.d/nginx_apparmor 的现有 APPArmor 配置文件。编辑位于 /cks/KSSH00401/nginx-deploy.yaml 的现有清单文件以应用 AppArmor 配置文件。请注意,考试时,考题里已表明 APPArmor 在工作节点上,所以你需要 ssh 到开头写的工作节点上。查看配置文件,加载配置文件,查看加载的配置中是否有对应profile。最后,应用清单文件并创建其中指定的 Pod。

2023-05-13 14:59:56 759

原创 k8s-CKS真题-故障排查Sysdig & falco

博主下载的sysdig-0.31.5-x86_64.tar.gz,之后把可执行文件移动即可。请注意,考试时,考题里已表明 sysdig 在工作节点上,所以你需要。看了一下,是操作系统层面的问题,直接在模拟环境下做题了。在下方github参考链接的Release下载即可。查看tomcat123 pod是否存在。ubuntu 安装sysdig。如果没有docker,使用。查看一下falco是否安装。使用sysdig做检测。如果都没有,可以使用。写一个falco规则。

2023-05-13 14:59:27 2536 6

原创 k8s-CKS真题-k8s安全策略PodSecurityPolicy

可以看到有个Warning提示,1.25版本之后就没有psp了,之后这个考题可能变动。或者使用yaml文件。

2023-05-10 19:42:56 401

原创 k8s学习-CKS真题-Context安全上下文

在spec下面添加(考试时可能已有securityContext)修改deployment。

2023-05-08 20:33:08 658

原创 k8s学习-CKS真题-启用API Server认证,禁止匿名访问

ps:考试环境应该是已有的,–user=system:anonymous的clusterrolebinding。创建一个名为system:anonymous的clusterrolebinding。查询用户system:anonymous的clusterrilebinding。确保只有认证并且授权过的 REST 请求才被允许。这个等我考前有模拟环境时再做补充。删除题目要求的角色绑定。

2023-04-22 10:49:43 955

原创 k8s学习-CKS真题-Trivy扫描镜像安全漏洞

使用 Trivy 开源容器扫描器检测 namespace kamino 中 Pod 使用的具有严重漏洞的镜像。注意:Trivy 仅安装在 cluster 的 master 节点上,在工作节点上不可使用。查找具有 High 或 Critical 严重性漏洞的镜像,并删除使用这些镜像的 Pod。你必须切换到 cluster 的 master 节点才能使用 Trivy。一个个镜像手动扫描也不方便,问了下ChatGPT,搞成了一条命令。读者根据自己的操作系统版本安装即可。第一需要下载库(考试时不需要)

2023-04-16 12:02:35 972 1

原创 k8s-CKS真题-CIS基准测试与安全扫描

-authorization-mode stringkubelet 服务器的鉴权模式。当 --config 参数未被设置时,默认值为 AlwaysAllow,当使用了 --config 时,默认值为 Webhook。- -authorization-mode strings 在安全端口上进行鉴权的插件的顺序列表。1.2.18 Ensure that the --insecure-bind-address argument is not set FAIL (现在没有了,也可以手动检查下)

2023-04-16 12:01:13 802

原创 网络安全-JDBC反序列化漏洞与RCE

可以看到执行语句后,在生成结果集时使用了ResultUtil的resultSetToMap函数,继续点击去,可以看到使用了getObject和readObject,而readObject就在反序列化时自动调用。Y4tacker师傅的脚本会读取a文件,没有的话就使用默认的,也能达到RCE的效果,这个在url中就不必指定user了。这里只需要连接就行,没有安装的话可以使用Java的mysql jdbc包连接也可以。虽然演讲者给出了调用链,但是没有提供恶意服务器,这就需要我们抓包,编写一个假的服务器。

2023-04-16 11:58:59 2508

原创 k8s学习-CKS真题-Runtime设置gVisor

由于我的集群版本已经是v1.25了,改为了containerd,所以需要修改一下配置。添加以下内容到配置中,与runc对齐。重启containerd。

2023-04-08 10:42:52 1678 5

原创 k8s学习-CKS真题-Dockerfile和deployment优化

分析和编辑给定的 Dockerfile /cks/docker/Dockerfile(基于 ubuntu:16.04 镜像),只需修改现有的配置设置让以上两个配置设置都不再有安全/最佳实践问题。注意:如果您需要非特权用户来执行任何项目,请使用用户 ID 65535 的用户 nobody。分析和编辑给定的清单文件 /cks/docker/deployment.yaml ,并修复在文件中拥有的突出的安全/最佳实践问题的两个指令。并修复在文件中拥有突出的安全/最佳实践问题的两个字段。只修改即可,不需要创建。

2023-04-01 10:26:56 1001 7

原创 k8s学习-CKS真题-secret创建、使用

Task在 namespace istio-system 中获取名为 db1-test 的现有 secret 的内容将 username 字段存储在名为 /cks/sec/user.txt 的文件中,并将 password 字段存储在名为 /cks/sec/pass.txt 的文件中。注意:你必须创建以上两个文件,他们还不存在。注意:不要在以下步骤中使用/修改先前创建的文件,如果需要,可以创建新的临时文件。在 istio-system namespace 中创建一个名为 db2-test 的新

2023-03-12 09:32:25 580

原创 k8s学习-CKS真题-网络策略精细化控制

解释:对于dev-team命名空间下标签打了run=products-service的Pod的如流量进行限制,打了kubernetes.io/metadata.name=qaqa标签的命名空间下的Pod都可以访问,打了environment=testing标签的Pod都可以访问。创建一个名为 pod-restriction 的 NetworkPolicy 来限制对在 namespace dev-team 中运行的 Pod products-service 的访问。创建products-service。

2023-03-04 19:30:01 1232 3

原创 k8s学习-CKS真题-网络策略拒绝流量

【代码】k8s学习-CKS真题-网络策略拒绝流量。

2023-02-25 10:58:38 604

原创 Python-datetime、time包常用功能汇总

timedelta(days=0, seconds=0, microseconds=0, milliseconds=0, minutes=0, hours=0, weeks=0) 用于表示两个时间的间隔。以补零后的十进制数表示的一年中的周序号(星期日作为每周的第一天)。以补零后的十进制数表示的一年中的周序号(星期一作为每周的第一天)。以补零后的十进制数表示的小时(24 小时制)。补零后,以十进制数表示的,不带世纪的年份。以补零后的十进制数表示的一年中的日序号。补零后,以十进制数显示的月份中的一天。

2023-02-24 21:16:57 700 1

原创 python-协程(async、await关键字与asyncio)

进程和线程是计算机提供的,协程是程序员创造的,不存在于计算机中。协程(Co-routine),也可称为微线程,或非抢占式的多任务子例程,一种用户态的上下文切换技术(通过一个线程实现代码块间的相互切换执行)在一个线程(协程)中,遇到io等待时间,线程可以利用这个等待时间去做其他事情。

2023-02-05 17:34:44 4082 5

原创 k8s学习-CKS真题-RoleBinding

生成web-pod.yaml,修改添加serviceAccountName,之后创建。查找service-account-web绑定的role。

2023-02-05 09:30:09 829

原创 k8s学习-CKS真题-Pod指定ServiceAccount

2. 使用 /cks/sa/pod1.yaml 中的清单文件来创建一个 Pod,使用上面创建的ServiceAccount。1.在现有 namespace qa 中创建一个名为 backend-sa 的新 ServiceAccount, 确保此。3. 最后,清理 namespace qa 中任何未使用的ServiceAccount。这块实际操作的时候yaml敲成了yml,影响不大,就没有重新弄了。ServiceAccount 不自动挂载 API 凭据。在创建sa的yaml中添加。

2023-02-04 16:06:26 1035

3D天空迷宫.zip

3D天空迷宫游戏。 使用C++ OpenGL 3.3,编辑器采用Qt 5.9.1及VS2015。使用天空盒、纹理贴图、摄像机等技术。适合学习了C++,并学习一段时间OpenGL的童鞋食用。

2019-07-01

OpenGL天空盒

使用立方体贴图技术,实现天空盒功能,提供了两套天空盒图片。本人博客:https://blog.csdn.net/lady_killer9/article/details/89468950

2019-04-23

OpenGL使用Assimp库加载3d模型

现代OpenGL,利用Assimp进行3d模型加载的一个Demo,提供了两个3d模型,能很好的加载含纹理的.obj格式的3d模型。博客地址:https://blog.csdn.net/lady_killer9/article/details/89458246

2019-04-23

OpenGL实现3d场景漫游

OpenGL的一个小Demo,通过摄像机实现3D场景的漫游。鼠标控制包括滑动鼠标进行视角转动,使用滚轮进行缩放。键盘通过WSAD进行前后左右的移动。

2019-04-18

19北邮计算机院考研心得及建议

北京邮电大学计算机学院考研心得与体会,包括初试与复试的经验。

2019-04-02

OpenGL超级宝典(中文第五版清晰扫描版)及代码

OpenGL超级宝典(中文第五版清晰扫描版)还有随书所有代码。

2019-01-18

Jsp购物网站-TdSnacks

Jsp编写的购物类网站,有注册,登录功能,购物车功能,翻页功能,Excel下载功能。使用Eclipse编写,sqlserver 2012数据库。

2018-07-06

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除