leah126的博客

工具目前支持SSH、RDP、SMB、MySQL、SQLServer、Oracle、FTP、MongoDB、Memcached、PostgreSQL、Telnet、SMTP、SMTP_SSL、POP3、POP3_SSL、IMAP、IMAP_SSL、SVN、VNC、Redis等服务的弱口令检查工作。超级弱口令检查工具是一款Windows平台的弱口令审计工具，支持批量多线程检查，可快速发现弱密码、弱口令账号，密码支持和用户名结合进行检查，大大提高成功率，支持自定义服务端口和字典。

名称：Tomcat-pass-getshell 弱口令描述: Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。通过弱口令登录后台，部署war包geshell。

在有了场景信息后，下一步是验证每个接口和链路的故障表现，明确在业务场景下的强弱依赖关系，发现不合理的依赖问题，为了解决场景链路到故障点创建和执行的鸿沟，我们打通了故障演练平台与场景元信息平台的数据交互，使其可以在场景元信息平台上一键进行故障创建和演练执行，极大的提升了演练效率，将每个故障点的演练耗时从分钟级降低到秒级。通过主动模拟故障的方式，验证活动玩法、流量业务、直播看播、社区互动等春晚相关核心服务的稳定性，解除非合理强依赖，明确强依赖故障场景下的降级预案和兜底容错。

就在上周，TypeScript 发布了 5.8 版本，其中有一个改动是添加了配置选项，开启后仅允许使用可擦除语法，否则会报错。enum就是一个不可擦除语法，开启配置后，使用enum会报错。例如，如果在 tsconfig 文件中配置（只允许可擦除语法），此时使用不可擦除语法，将会得到报错：可擦除语法就是可以直接去掉的、仅在编译时存在、不会生成额外运行时代码的语法，例如typeinterface。

The简单来讲 MCP 是 Anthropic 提出的一个用于标准化应用程序如何向大语言模型提供上下文的开放协议，相当于模型与各种应用程序之间的 USB-CMCP 使用 C/S 模式，它们之间用一种标准的消息格式（基于JSON-RPC）交流MCP Client：嵌入在 AI 应用内（比如 Cursor），负责跟服务器“聊天”，根据用户自然语言，智能发起 MCP 服务调用，获取数据、资源或命令执行MCP Server 器：开发者提供的向模型暴露内部数据、资源、功能的服务。

自从用了 Cursor 之后就离不开她了，AI 生成这块儿简直不要太好用。当然对于我这个 Java 开发来说，也有不好用的地方，那就是 IDEA 用习惯了，用 Cursor 写代码和调试总感觉不舒服，于是选择了让他们各司其职，IDEA 开发调试，Cursor 用来生成。双开的话用着用着弊端就凸显了，两个软件跳来跳去很不方便，于是我开发了两个插件，方便在 IDEA 和 Cursor 之间丝滑切换，并且打开的文件和光标所在的位置一致。这两个插件是开源的欢迎大家star、使用和提供反馈建议。

在经历了从VSCode到Cursor的转变后，我深刻体会到AI辅助开发工具已经不仅仅是一个代码补全助手，而是evolving成为一个真正的开发伙伴。功能特性Cursor对比说明基础功能代码补全✅ 更智能的上下文理解✅ 基于上下文补全Cursor的补全更准确，理解更深入多行编辑✅ 智能批量编辑⚠️ 仅支持基础多光标Cursor支持更智能的批量修改代码解释✅ 实时、详细✅ 基础解释Cursor的解释更加详细和准确AI 特性对话功能✅ 内置Chat功能。

爆肝一周，每天搜索和整理 2h，终于写完了。希望给所有前端开发员的同学一份专业详细的参考目录。近期有计划面试的同学，可到面试派刷题，学习面试流程和技巧。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」「在看」「赞」**

上次我们在说mybatis 的 plugin 功能的时候，提到了其可作用于myBatis 的四大组件，也放了一个基础的模型图，但是对于这四大组件更具体的功能和原理：却没有进一步说明，今天就来完成这项工作Statement 是Java JDBC API中定义的一个接口，位于java.sql 包下，是一种执行静态SQL语句的对象，可以用于执行SQL语句的查询、更新、插入和删除等操作。

亲爱的朋友们，今天我们一起学习了如何在MySQL数据库中加强安全防护，包括防止SQL注入和管理用户权限。虽然这段旅程充满了技术细节，但只要跟随我们的指引，相信你也能建立起坚实的防线。如果你觉得这篇文章对你有所帮助，请不要吝啬你的赞和分享，让更多的人受益吧！

(7)开启数据库审计功能，记录访问日志和错误日志，帮助管理员监控系统的运行状态和发现异常行为。同时，禁止使用默认账户和密码，并限制远程访问。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。同时，使用加密算法对密码进行加密存储，防止密码被窃取。同时，定期备份数据，并将备份数据存储在安全的地方。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」同时，禁止使用已经过时的版本，避免存在已知的漏洞。(4)关闭不必要的服务和端口，减少攻击面。

2.收获地址越权：收货地址这里碰到的还是蛮多的，在收货地址的地方，查看收货地址，有些通过修改address的id值即可查看别人的收货地址，还有越权修改别人的收货地址，这里有一个小套路，假设此站点的收货地址存在xss漏洞，就可以通过修改别人的收货地址打到cookie，这里也算是个组合拳吧。其实这里不只是验证码，在某些密码找回，或者验证用户凭证的时候，会根据返回的状态码进行校验，假设验证码是正确的，返回的状态码位1，错为2，这里我们就可以通过抓取响应包，修改状态码为1，即可达到验证绕过。

我想难到系统有检测，舍不得孩子套不到狼。站在攻击者的角度看待问题，查找问题时先不去想如何防御，我是对破解的过程有特别的兴趣，所以拿到程序时我先大概看一下程序的主要功能都有什么，然后迅速在脑中构思出一个破解思路和过程，然后开始着手破解，不停的尝试，觉得差不多了就停止，等有了新思路在尝试，也可以找一些朋友来帮忙测试一下，看一下有没有漏掉的点，毕竟每个人的思路还是不同的，找到了所有点后整理个报告，在来想如何防御，漏洞修复后一定要尝试其他思路是否能继续绕过，我在某SRC提交刷会员的时候用了3种不同的思路来绕过了~

*6、转到浏览器，访问www.yourdomain.com,填入相关网站信息还有邮箱，**邮箱不要瞎填，最好填我们之前注册的自己域名邮箱或其他能收到信的邮箱，如果Wordpress出现故障，会发邮件。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」****Wordpress安好后，插件里是有一个反垃圾邮件的插件，还有一些人们常安的插件，如下，因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。木马免杀问题与防御********必知必会。

每天早上七点三十，准时推送干货。

首先这个东西在 PHP 网站中的定义：所有 php 里面的值都可以使用函数来返回一个包含字节流的字符串来表示。函数能够重新把字符串变回 php 原来的值。序列化一个对象将会保存对象的所有变量，但是不会保存对象的方法，只会保存类的名字。按照我的理解，将一个对象转换成一个字符串，将字符串还原为一个对象。当然从本质上来说，反序列化的数据本身是没有危害的，用户可控数据进行反序列化是存在危害的。

Python初学者入门8大要点Python，作为一种高级编程语言，以其简洁易读和广泛的应用领域，吸引了无数编程初学者。无论你是想要从事数据分析、机器学习、Web开发，还是仅仅对编程感兴趣，Python都是一个绝佳的选择。以下是Python初学者入门的八大要点，帮助你快速上手并打下坚实的基础。

Python，作为一种解释型、面向对象的高级编程语言，因其简洁的语法、丰富的库支持和广泛的应用领域，成为了编程初学者的首选。对于初学者而言，掌握Python的基础知识点是构建编程技能体系的关键。以下列出了Python初学者必须掌握的十大基础知识点，旨在帮助初学者快速入门并打下坚实的基础。

Python是一种解释型、面向对象的高级编程语言，由Guido van Rossum于1991年首次发布。其设计哲学强调代码的可读性和简洁性，使得Python成为初学者和经验丰富的开发者都喜爱的语言。要开始学习Python，首先需要搭建一个Python环境。你可以从Python的官方网站下载适用于你操作系统的安装包，并按照提示进行安装。安装完成后，你可以通过命令行或集成开发环境（IDE）来运行Python代码。

Python，作为一种简洁、易学的高级编程语言，近年来受到了广泛的关注和应用。如果你希望在Python编程领域有更深入的发展，你需要进一步学习Python的高级特性和实现原理。此外，你还可以学习Python的性能优化和交互原理。函数是Python中的一种代码块，它可以重复使用，以提高代码的复用性。Python的应用范围非常广泛，你可以根据自己的兴趣和需求选择不同的领域进行深入学习。本文将为你提供一份详细的Python入门攻略，包括学习路线、实战案例和代码示范，帮助你从零基础开始，逐步掌握Python编程。

（啪！拍大腿声）大兄弟老妹儿们，今儿咱不整烧烤不唠闲嗑，给大伙整点儿硬货！咱就唠唠这个Python编程，保准让你从"两眼一抹黑"整到"哎妈呀我也会了"！（掏出保温杯吨吨吨喝两口）走着！

前情交代：最近因为hw的事情比较忙，另外也比较瓶颈不知道写啥子了，然后团队里的F师傅就劝（逼迫）我去打一轮src（毕竟我是团队中唯一一个src零经验的菜狗），刷出结果了刚好能出一篇章教程，啊，先上结果，确实没打出什么样子来，其中五六个洞还是趁着无权重活动水出来的，所以分也低，洞也少。（截图为证，第一个交的洞是一个月前的）顺带捡了个cnvd编号：（但是不知道为什么还查不到，就不给你们看了）吐槽一下正常到这步可能很多人开始卖课了。

这里就比较广泛，比如各个单位信息中心或者网络安全的负责人，行业主管部门负责网络安全的人员，高校负责网络安全、计算机等教学人员，这些专家也都行，他们长年从事信息化特别是网络安全工作，经验也较为丰富，如果自身负责过或指导过本单位等保工作开展的那就更好。专家找好了，评审就顺其自然的开展下去了，网络运营者肯定要对自己的信息系统进行介绍，各位专家对定级资料进行评审，提出相关疑问，网络运营者解答，最终专家对该系统的定级情况做一个认定，出具专家评审意见并进行签字，这样专家评审环节就完成了。

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把“安全****“”，否则可能就看不到了啦**原文由作者授权，首发在先知社区**

其次，在互联网出口区域部署两台功能相近的上网行为管理设备，虽然可以实现功能的分担、负载的分担，但也严重影响了用户的上网体验，而且两台都采用串接的方式，增加了链路单点故障的风险。安全技术实施的活动内容包括安全产品的采购、安全控制的开发以及验收与测试等环节，将针对系统具体的安全需求，在等级保护前期工作基础上，提供专业的安全技术解决方案，提供包括安全产品选型、产品部署、产品调试配置、安全加固等服务，而且站在更高的角度，以一个系统建设者的角度，把信息系统安全建设与信息系统建设过程平滑有机地结合起来。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。

人工智能是美国发誓要确保领先中国一大步的领域，也是美国极力试图锁住中国进步的前线。所以开年的1月20日，**中国的AI公司推出全新的DeepSeek开源模型，让美方的AI观察家们几近“破防”。****“中国的人工智能越来越好，而且更便宜”，这是他们的惊呼。“DeepSeek最近的一系列动作让Meta的生成式AI团队陷入了恐慌。”**因为在前者的低成本高歌猛进之下，后者无法解释自己超高预算的合理性。去年12月，这家名为“深度求索”的中国公司推出DeepSeek-V3，在全球AI领域已经引起震动。

XXE漏洞全称（XML External Entity Injection），即XML外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成：文件读取、命令执行、内网端口扫描、攻击内网网站，DOS攻击 等危害.（xxe漏洞触发的点往往是可以上传xml文件的位置的，没有对上传的xml文件进行过滤，导致可上传恶意xml文件.）

元素必须包含<name><sex><age>三个子元素，且顺序不能改变。属性定义给<name><name test="hack">小明</name>实体定义ENTITY test "小明">定义了一个实体，名为test，值为小明，可以在XML中通过&entity_name;ENTITY test "小明">]><person></name>

O了，看破就是要说破，我是V哥，一个永远18的程序员，喜欢广交天下志同道合的朋友，喜欢分享技术经验，讲真，这会促进我的荷尔蒙分泌，所以会一直坚持下去，欢迎关注威哥爱编程，技术路上我们一起成长。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

XSS全称跨站脚本(Cross Site Scripting)，为避免与层叠样式表(Cascading Style Sheets, CSS)的缩写混淆，故缩写为XSS。这是一种将任意 Javascript 代码插入到其他Web用户页面里执行以达到攻击目的的漏洞。攻击者利用浏览器的动态展示数据功能，在HTML页面里嵌入恶意代码。当用户浏览改页时，这些潜入在HTML中的恶意代码会被执行，用户浏览器被攻击者控制，从而达到攻击者的特殊目的，如 cookie窃取等。

这里我们采用针对同一弱口令去爆破不同账号的方式进行猜解，将可能存在的username放入position1的位置，其次放置password在position3的位置，最后attack时爆破的顺序如下图，就不会针对同一账号锁定。CSDN上有个脚本利用的是占满tomcat缓存的方式绕过，当同一账号大于5次登录，就会采用脏数据去进行登录，直到缓存占满后，又会用剩下的可能存在的username进行登录。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

资料列表：https://docs.qq.com/doc/DTGJUTmNva1Roc0xQ| 身份验证漏洞一、暴力破解漏洞漏洞介绍：攻击者可以通过该漏洞获取用户名和对应弱口令密码，并进行登录操作。漏洞原理：由于没有设置登录失败次数限制，导致攻击者可以通过口令字典进行特定用户的密码爆破或通过用户名字典进行特定弱口令的用户枚举。漏洞点：系统登录点漏洞修复：对于固定用户名爆破密码1.可以针对用户名进行错误次数计算，高于一定阈值账号锁定一段时间，或者添加验证码。2.但是不能永久锁定，可能被用来进行账户恶意锁定。对

他们的黑客行为和技术引起德国秘密警察组织和欧洲刑警组织的关注，而一个邪恶的黑客集团也将他们视为威胁，最终本杰明利用社会工程等手段成功逃脱了政府情报部门的监控和黑客集团的追杀。该片讲述主人公网络黑客尼奥发现自己生活的世界被一个名为“矩阵”的计算机人工智能系统控制，人们像被饲养的动物，没有自由和思想，为了冲破机器的统治重获自由，他与黑客崔妮蒂以及黑客组织首领墨菲斯联手抗争“矩阵”的故事。今天，“保密观”精选了几部精彩的经典黑客题材电影，带大家更深入直观地了解网络安全，增强网络安全意识，丰富网络安全知识。

沙箱（Sandbox）是一种隔离机制，通过创建一个受控的、隔离的计算环境，允许软件在不影响宿主系统或网络的情况下运行和测试。如果白名单中的程序没有一个在运行，则可以判定当前环境可能为沙箱，从而触发木马程序退出。为检测程序是否在虚拟机中运行，可以读取特定的注册表信息。黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

钓鱼邮件的多样化，完全依靠用户进行识别，几乎不太现实，这时候我们需要提供协助用户进行钓鱼邮件的有效识别，就能最大化的遏制钓鱼邮件的攻击行为，安几零信任方案中，除了通过邮件网关对钓鱼邮件进行事中的检测外，同时也提供对用户收取的邮件进行事后的识别（识别范围包含邮件正文、附件、以及恶意链接等），操作方面也非常简单，用户只需要将可疑邮件转发给指定邮箱地址，检测完成后以邮件的形式将结果反馈给用户，整个过程耗时不超过30S（参考时间来源于内部的测试环境，具体时间可能会受网络环境等多重因素影响）；

**摘  要：**网络入侵是指非授权访问和恶意攻击网络系统的行为，对网络和数据安全构成威胁。为了保护网络系统免受入侵的危害，设计和实现一个高效准确的网络入侵检测系统至关重要。因此，提出了一个基于深度学习的端到端网络入侵检测框架，利用卷积神经网络（Convolutional NeuralNetwork，CNN）的特征提取和分类能力来识别网络流量中的恶意行为。使用公开的网络入侵检测数据集对该框架进行实验评估，并对系统性能进行了分析和比较。实验结果表明，所提出的基于CNN 的网络入侵检测系统在准确性和效率方面取得

在“银狐”木马病毒传播过程中，攻击者通过构造财务、税务等主题的钓鱼网页，或者微信、钉钉、QQ直接传播该木马病毒的下载链接或包含该木马病毒的加密压缩包文件，引诱安全意识薄弱的人员进行点击和下载安装。**不点击聊天群内未经确认的网络链接，不点击来源不明的邮件及其附件，不轻信社交媒体软件中传播的所谓政府部门发布的通知，应通过官方渠道进行核实。**安装最新版本的杀毒软件（上班族可使用单位提供的企业级杀毒软件），定期更新病毒库，开启实时监控功能，定期查杀病毒、备份重要数据，防止数据丢失、篡改、加密（勒索）。

但是突然听到同事说卧槽，为什么我们CPU占用率高达99.8%，当时下意识以为可能只是程序有BUG，导致CPU爆炸，但是当我使用top准备去看哪个服务程序给干炸的时候，从输出内容来看，所有程序加在一起CPU使用率都不足20%，那么问题来了，剩下的79%的CPU是谁在搞鬼？尝试清除了启动项，但是保存在打开后，发现启动项还存在，那么显然后台还有另外的程序在一直监控修改，通过使用auditd监听发现，二号目标 /usr/bin/log 出现。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

但是，数字化时代，数据要素的隐私保护仍面临诸多挑战。**在企业和组织方面，****一是隐私政策透明化与用户教育。随着网络安全法等法律法规的实施，数据要素隐私保护的法律框架日益完善，为数据要素市场的健康发展提供了坚实的法律保障。同时，建立严格的密钥管理制度，确保密钥的安全存储和分发，防止密钥泄露导致的数据被解密。建立详细的访问审计机制，记录所有对敏感数据的访问行为，并定期审查访问日志，发现异常行为，及时调查和处理。**政府应建立健全数据隐私保护的监管体系，明确监管主体和职责，加强对数据处理活动的监督检查。