leah126的博客

名称：Tomcat-pass-getshell 弱口令描述: Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。通过弱口令登录后台，部署war包geshell。

在有了场景信息后，下一步是验证每个接口和链路的故障表现，明确在业务场景下的强弱依赖关系，发现不合理的依赖问题，为了解决场景链路到故障点创建和执行的鸿沟，我们打通了故障演练平台与场景元信息平台的数据交互，使其可以在场景元信息平台上一键进行故障创建和演练执行，极大的提升了演练效率，将每个故障点的演练耗时从分钟级降低到秒级。通过主动模拟故障的方式，验证活动玩法、流量业务、直播看播、社区互动等春晚相关核心服务的稳定性，解除非合理强依赖，明确强依赖故障场景下的降级预案和兜底容错。

上一篇已经聊过日志上报的调度原理，讲述如何处理日志上报堆积、上报失败以及上报优化等方案。从上家公司开始，监控就由我们组身强体壮的同事来负责，而我只能开发Admin和H5；经过一系列焦虑的面试后，咸鱼翻身，这辈子我也做上监控了。千万不要以为我是因为监控的重要性才这么执着，人往往得不到的东西才是最有吸引力的。在写这篇文章时，我也在思考，为什么走到哪里都会有一群程序员喜欢封装监控呢？即使换个公司、换个组，依然可能需要有人来迭代监控。嗯，话不多说，先点关注，正文开始。

未来的Web前端将呈现多维融合、智能主导、体验升维的特征，但同时也面临碎片化加剧、伦理风险、技术债务等挑战。对开发者的建议：深耕底层能力：浏览器原理、网络协议、数据结构等知识比框架更持久。拥抱AI协作：学习提示工程（Prompt Engineering），成为“AI策展人”而非代码苦力。关注垂直场景：Web3、元宇宙、高性能计算等领域将诞生新机会。保持技术批判性：不盲目追随“新轮子”，专注于解决真实用户问题。未来的前端开发者可能不再被称为“前端”，而是体验工程师。

卓越领先！轻松无头管理内容 -

内容管理系统是一种软件应用程序，它提供图形用户界面，其中包含我们可以用来创建、更新、管理和发布内容的工具。内容存储在数据库中，并通过CMS提供的展示层或前端层（通常以网站模板的形式）显示给目标受众。有不同类型的「CMS」

作者：辰木。

ramda函数式库，提供优雅的调用方式来实现业务逻辑，地址ramdakoa-static提供静态资源访问，具体用途在项目实现细节里面会详细介绍koa-logger控制台输出请求日志，方便开发中进行调试koa-body处理请求报文，让koa可以方便的拿到post/put的数据处理session相关操作koa2-cors本地联调时通过cors方式处理跨域问题ioredis基于nodejs的redis客户端，性能和操作方式都非常优秀jsonschema。

Headless CMS 是一种内容管理系统（Content Management System），它将【头部Head】表示层（内容呈现的地方）与【身体Body】后端（内容管理的地方）分离开来。即，把表示层和后端信息层分离开了。这样，我们可以根据需要在 Web、移动和数字媒体平台上重复使用和重新混合内容。您甚至可以在印刷品中重复使用您的内容。与格式无关的内容为所有参与者（作者、开发人员和用户）提供了变革性的体验。作者受益于使用结构化数据模型构建的完全可自定义的编辑器。

不会编程：首选 WordPress 因为它成熟简单，编程相关的东西都被藏在了背后。会 Python：django-cms 容易接受，wagtail 则更新、势头更猛。会前端：推荐 strapi 它背后有商业化公司支持，吃透了可以谋个远程全职。不会前端，但懂后端：推荐 Ghost，它玩法多、社区活跃、有免费主题。以上就是本文的所有内容了，由于篇幅问题没有写静态网站生成器相关的开源项目，后面我会专门再做一期。❤️黑客/网络安全学习路线。

Spring3.X鼓励使用，Spring 4.X以后认为是可选的注入方式，Setter注入字段本身是可变化的，所以对象本身或注入的内容可以为空。即，一般依赖的组件以及组件依赖的外部输入等，都需要我们在构造的时候完成初始化。构造器注入如果参数过多，代码看起来不是很友好，一般需要做一些重构，换句话说就是不应该把太多的职责放到一个类里，一个方法里不应该有太多的输入。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」木马免杀问题与防御********必知必会。

/ bindings是在iris.Application初始化的时候就已经准备好了，handler在注册到iris.Application的时候通过getBindingsForFunc初始化了if err!= nil {continuereturn// 调用controller的业务逻辑// 请求结果分发处理err!= nil {篇头说过，注入模块有两部分，一部分是一开始的初始化，一部分是请求处理时的注入，这里的是注入。

本文主要讲解了xml中bean的依赖注入，都是采用硬编码的方式进行注入的，这种算是手动的方式注入普通类型通过value属性或者value元素设置注入的值；注入对象如果是容器的其他bean的时候，需要使用ref属性或者ref元素或者内置bean元素的方式还介绍了其他几种类型List、Set、Map、数组、Properties类型的注入，多看几遍加深理解后面我们将介绍spring为我们提供的更牛逼的自动注入黑客/网络安全学习路线。

本文叙述了crlf、csrf和ssrf的原理、攻击利用和一些绕过方法，作为个人笔记，内容可能不全面，日后有接触新的方法会更新。

SSRF(Server-Side Request Forgery)，即服务器端请求伪造，利用漏洞伪造服务器端发起请求，从而突破客户端获取不到数据限制，本质上是属于信息泄露漏洞词典网络协议，在RFC 2009中进行描述。它的目标是超越Webster protocol，并允许客户端在使用过程中访问更多字典。Dict服务器和客户机使用TCP端口2628。定义：Gopher是Internet上一个非常有名的信息查找系统，它将Internet上的文件组织成某种索引，很方便地将用户从Internet的一处带到另一处。

UI还原能力：Claude 3.7 胜出 ✅项目理解能力：Claude 3.7 胜出 ✅架构设计能力：Claude 3.7 胜出 ✅物理规律理解：Claude 3.7 胜出 ✅实际测试结果摆在这里，这没啥好说的，Claude 3.7确实提升了 AI 编程的天花板。在本次发布的最后，Claude还给出了Claude模型的演进路线图2024年 - Claude assists（Claude 协助）：帮助个人更好地完成他们当前的工作，使每个人都能成为最好的自己。

在柏林 JS 大会上演讲，主要讲述了过去他在设计 Node 时犯的一些错误，包括 Node 安全、构建系统 (GYP)、package.json 等方面上的问题，并阐述了开发新项目 Deno 背后的一些故事、原因和未来规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。不过，Deno 显然不愿意屈居人后，也在 v2 版本支持了这个内嵌功能，目前落后的只有 Node.js 了，官方默认的。因为 Node.js 已经占据了先驱者的生态位，是它制定了规则，创造了一切，已经根深蒂固，盘根复杂。

本文由林不渡和 Deepseek 冠名完成。本文部分内容参考:TypeScript 在昨天官宣使用 Go 语言 对 TypeScript 进行全面重写(blog:在基准测试中，在一些大型的 TypeScript 项目中使用tsc进行编译能得到 10 倍左右的速度提升，更有一些其他项目能有 15 倍左右的提升，参考 Blog 里面给出的基准项目参考:近些年的 TS 更新中，也有一些关于性能提升做出的努力，例如 TypeScript 5.0 的一次 namespace 到 module 变更(

蓝队核心任务网络安全攻防演练中，蓝队的核心任务是。以下是蓝队加固实践的体系化总结，涵盖技术、流程和策略层面。：基于漏洞CVSS评分、资产重要性制定补丁优先级（如0day漏洞、公开EXP漏洞优先）。：在测试环境验证补丁兼容性后再全网部署，避免业务中断。：使用WSUS、Ansible等工具批量管理补丁。：禁用未使用的端口（如Telnet、SMBv1）、移除冗余组件（如开发工具包）。：修改数据库/中间件默认账号密码（如Redis无密码漏洞）、关闭调试接口。：限制管理员权限，启用sudo审计；

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。木马免杀问题与防御********必知必会。****网络安全/渗透测试。****网络安全/渗透测试。****网络安全/渗透测试。

点击蓝字 · 关注我们前言恶意代码分析是一个安全从业者非常重要的一个技能点。参考书籍:<<恶意代码分析实战>>相关知识ZF 当一个运算的结果等于0时，ZF被置位，否则被清除CF 当一个运算的结果相当于目标操作数太大或太小时，CF被置位，否则被清除SF 当一个运算的结果为负数，SF被置位；若结果数为正数，SF被清除。对算术运算，当运算结果的最高位置为1时，SF也会被置位TF TF用于调试，当它被置位时，x86处理器每次只执行一条指令。

当然，在自我注入的情况下，更容易找到恶意的二进制文件/payload。代码注入是 Window 系统上支持的操作，当然，它是一种非常有用的规避方法，因为恶意软件能够将恶意代码注入（写入）进程本身（自我注入）或远程（远程注入）的内存区域（有些人使用术语“段”）中，并且此有效负载将在目标上下文上执行，无论它是否成为它的一部分，并且不会留下很多证据。**关键是：当线程被创建时，会触发进程回调，并检查磁盘上文件的内容（好的），所以安全防御认为一切都很好，因为磁盘上的镜像是无害的，但真正的恶意在内存中。

6号凌晨 3 点，阿里开源发布了新推理模型 QwQ-32B，其参数量为 320 亿，但性能足以比肩 6710 亿参数的 DeepSeek-R1 满血版。千问的推文表示：「这次，我们研究了扩展 RL 的方法，并基于我们的 Qwen2.5-32B 取得了一些令人印象深刻的成果。我们发现 RL 训练可以不断提高性能，尤其是在数学和编码任务上，并且我们观察到 RL 的持续扩展可以帮助中型模型实现与巨型 MoE 模型相媲美的性能。欢迎与我们的新模型聊天并向我们提供反馈！

反序列化漏洞序列化和反序列化反序列化漏洞payloadJAVA Web反序列化漏洞的挖掘和利用Part 1反序列化漏洞JAVA反序列化漏洞到底是如何产生的？1、由于很多站点或者RMI仓库等接口处存在java的反序列化功能，于是攻击者可以通过构造特定的恶意对象序列化后的流，让目标反序列化，从而达到自己的恶意预期行为，包括命令执行，甚至 getshell 等等。2、Apache Commons Collections是开源小组Apache研发的一个 Collections 收集器框架。

自从ChatGPT发布以来，第一波生成式AI应用大多是基于“检索增强生成”（Retrieval Augmented Generation，简写为RAG）模式，通过聊天界面与文档语料库进行交互。尽管目前众多研究正致力于提高RAG系统的稳健性，但研究者们也在积极探索下一代AI应用的开发，其中AI Agent技术成为了一个共同关注的焦点。

代理（Agent）指能自主感知环境并采取行动实现目标的智能体，即AI作为一个人或一个组织的代表，进行某种特定行为和交易，降低一个人或组织的工作复杂程度，减少工作量和沟通成本。背景目前，我们在探索Agent的应用方向，借此机会调研学习了一下现在主流的Agent框架，这篇文章也是我们调研过程的记录。

上周五我在一个特工宇宙的社群里做了一次分享，题目是《从 YC 项目看 AI 趋势以及 AI agent 开发工具类产品该如何设计》，收到了大家不错的反馈，不过回看视频后还是发现不少可以提升的地方，这篇文章和大家详细讲讲分享中提到的:相关的资料（包括论文链接，原作者博客，langchain 代码实现等）已经整理在成表格(关注公众号发送“Agent”即可获得)。接下来讲讲每个模式的原理，以及代码实现。

Python初学者入门8大要点Python，作为一种高级编程语言，以其简洁易读和广泛的应用领域，吸引了无数编程初学者。无论你是想要从事数据分析、机器学习、Web开发，还是仅仅对编程感兴趣，Python都是一个绝佳的选择。以下是Python初学者入门的八大要点，帮助你快速上手并打下坚实的基础。

Python，作为一种解释型、面向对象的高级编程语言，因其简洁的语法、丰富的库支持和广泛的应用领域，成为了编程初学者的首选。对于初学者而言，掌握Python的基础知识点是构建编程技能体系的关键。以下列出了Python初学者必须掌握的十大基础知识点，旨在帮助初学者快速入门并打下坚实的基础。

在金融时间序列预测这块，用大语言模型精准预测股票走势特别重要。不过，现在的大模型算法问题挺明显的。不管是学术界还是行业内，大家都特别关注怎么让大模型在处理金融数据时表现得更好。但目前这些模型，在推理效率和捕捉金融数据复杂模式的能力上都不太够。尤其是从海量的金融时间序列数据里精准提取关键信息，用来做可靠的预测，这里面还有好多问题没解决呢，这可大大限制了金融预测的准确性和实用性。现在，研究和实际应用都碰到了不少难题。第一，金融时间序列数据量特别大，还到处都是噪声。

作者遴选了2025年度典型的RAG系统和论文（含AI注解、来源、摘要信息），并于文末附上RAG综述和测试基准材料，希望阅读完本文可以帮助大家速通RAG。▍作者：范志东，蚂蚁图计算开源负责人、图计算布道师回顾2025，大模型日新月异，智能体百家争鸣。作为AI应用的重要组成部分，RAG也是“群雄逐鹿，诸侯并起”。年初ModularRAG持续升温、GraphRAG大放异彩，年中开源工具如火如荼、知识图谱再创新机，年末图表理解、多模态RAG又启新征程，简直“你方唱罢我登场”，奇技叠出，不胜枚举！

我们按照下图的数据介绍组件。• ragflow的的官方文档相对来说还是比较欠缺的，特别是用户交互这块。• ragflow的ui使用成本相对比较高，组件不知道返回什么，只能根据示例或意图推断• 使用ragflow建议是有技术底子的• 英文文档的描述习惯和中文还是有很大的差别的。

现实中可能会经常出现web日志当中出现一些被攻击的迹象，比如针对你的一个站点的URL进行SQL注入测试等等，这时候需要你从日志当中分析到底是个什么情况，如果非常严重的话，可能需要调查取证谁来做的这个事情，攻击流程是什么样子的。除此之外，还有其他场景。作为一名管理员，理解如何从安全的角度来分析日志真的很重要。这篇文章内容包括了日志分析的一些基础知识，可以解决上述需求。

针对各类开源程序或者框架0day,可以想办法直接捕捉相应的 exp参数特征 ,具体的exp得具体对待了,大家可以把曾经曝过的所有0day,花点儿时间好好搜集一下,然后再针对性的提取一下exp核心参数特征, 然后再集成到自己的正则里就好了, 比如,wp,joomla,drupal,phpbb,discuz,strus2,tp……搜集各类典型的 webshell管理工具 发起的各类敏感 http数据特征,具体针对性的正则,可能需要你自己,抓包好好看下里面的各种请求参数,如,菜刀,Altman,weevely。

他使用InlineExecute-Assembly插件尝试执行了GodPotato、CoercedPotato、SigmaPotato，也测试了哥斯拉的BadPotato、EfsPotato等，但都均已失败告终了…该公众号大部分文章来自作者日常学习笔记，也有部分文章是经过作者授权和其他公众号白名单转载，未经授权，严禁转载，如需转载，联系开白。大白也帮大家准备了详细的学习成长路线图。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」也有看到利用http://0000::1:80/的，但是我测试未成功。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。木马免杀问题与防御********必知必会。也不一定是上传，我也说不清，自己体会 -

你所不知道的权限绕过思路分享。

只需将电子版合同上传JoyLaw系统，几秒钟内就能得到审查反馈，金明根据提示进行修订，最快2分钟就能完成一份合同审查。金明是一名企业法务人员，在日常工作中，审查合同往往要占据他一半以上的工作量。用了JoyLaw后，他感慨“终于不用逐字逐句去读繁琐的法律条文，先系统自动审一遍，我再接着审，效率可以提升30%”。JoyLaw，是基于大模型技术打造的一款AI Agent，可自动标记出可能存在风险的合同条款。法务人金明可能并不关注什么是大模型，但JoyLaw，已经切切实实给他的工作带来了便利。

利用预训练模型：预训练大模型是在大规模通用数据上经过无监督或自监督学习得到的，已经具备了对各种数据的通用理解和表示能力。例如，像 GPT、BERT 等预训练模型，在海量的文本数据上学习到了语言的语法、语义等知识。在微调过程中，首先加载这些预训练好的模型作为基础。使用特定任务数据进行训练：准备与目标任务相关的少量标注数据，这些数据要能反映目标任务的特点和需求。然后，使用这些数据在预训练模型的基础上进行有监督学习，通过调整模型的参数，使模型适应特定任务。

假以时日，一个10亿DAU的超级应用一定会出现，但更重要的是大模型在各个领域、各个场景的应用。‍‍‍‍‍‍大模型市场在过去3个月，又发生了剧烈变化。一位工业大模型资深人士告诉数智前线，。**“产业正迎来一个转折点。”**在世界人工智能大会（WAIC）期间举办的“大模型助力新质生产力发展论坛”上，百度副总裁谢广军告诉与会者，一批之前探索的大模型落地场景已经跑出来了，“我们判断，”谢广军说。