leah126的博客

仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。暴力破解，是一种针对于密码的破译方法，将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码，其可能共有10000种组合，因此最多尝试10000次就能找到正确的密码。而当遇到人为设置密码（非随机密码，人为设置密码有规律可循）的场景，则可以使用密码字典（例如彩虹表）查找高频密码，破解时间大大缩短。

后来，我在impacket 示例文件下找到了rdp_check.py，这个脚本可用于测试目标主机上的帐户是否有效。我曾写过一款弱口令检测工具，经常有童鞋在后台询问关于iscan源代码的事情，但其实通过Python打造自己的弱口令扫描工具是一件非常简单的事情，无非就是将多个Python扫描脚本集成在一起。今天，分享一些常见的端口服务扫描脚本，根据自己的需求来改写脚本，在实战中应用更切合实际游刃有余。在内网检测中，弱口令扫描是必不可少的环节，选择一个好用的弱口令扫描工具，尤为重要。

🌟▎🤖| Claude模型展现自我意识▎💼| 亚马逊发布成本仅H1/4的Trainium AI芯片▎📜| 斯坦福学者呼吁优先关注AI伦理与透明度▎🔍| 二进制量化技术提升向量检索40倍▎💡| 腾讯Hunyuan3D生成速度提升30倍。

Model Context Protocol (MCP)是Anthropic在2024年推出的开放标准，旨在统一大型语言模型(LLM)与外部数据源和工具之间的通信。它解决了AI模型因数据孤岛限制而无法充分发挥潜力的问题，使AI应用能够访问和操作本地及远程数据。MCP 是让不同 AI 模型和外部工具通过统一接口协作的通信协议，类似给所有设备统一用USB-C 接口。

/ bindings是在iris.Application初始化的时候就已经准备好了，handler在注册到iris.Application的时候通过getBindingsForFunc初始化了if err!= nil {continuereturn// 调用controller的业务逻辑// 请求结果分发处理err!= nil {篇头说过，注入模块有两部分，一部分是一开始的初始化，一部分是请求处理时的注入，这里的是注入。

本文主要讲解了xml中bean的依赖注入，都是采用硬编码的方式进行注入的，这种算是手动的方式注入普通类型通过value属性或者value元素设置注入的值；注入对象如果是容器的其他bean的时候，需要使用ref属性或者ref元素或者内置bean元素的方式还介绍了其他几种类型List、Set、Map、数组、Properties类型的注入，多看几遍加深理解后面我们将介绍spring为我们提供的更牛逼的自动注入黑客/网络安全学习路线。

本文叙述了crlf、csrf和ssrf的原理、攻击利用和一些绕过方法，作为个人笔记，内容可能不全面，日后有接触新的方法会更新。

SSRF(Server-Side Request Forgery)，即服务器端请求伪造，利用漏洞伪造服务器端发起请求，从而突破客户端获取不到数据限制，本质上是属于信息泄露漏洞词典网络协议，在RFC 2009中进行描述。它的目标是超越Webster protocol，并允许客户端在使用过程中访问更多字典。Dict服务器和客户机使用TCP端口2628。定义：Gopher是Internet上一个非常有名的信息查找系统，它将Internet上的文件组织成某种索引，很方便地将用户从Internet的一处带到另一处。

UI还原能力：Claude 3.7 胜出 ✅项目理解能力：Claude 3.7 胜出 ✅架构设计能力：Claude 3.7 胜出 ✅物理规律理解：Claude 3.7 胜出 ✅实际测试结果摆在这里，这没啥好说的，Claude 3.7确实提升了 AI 编程的天花板。在本次发布的最后，Claude还给出了Claude模型的演进路线图2024年 - Claude assists（Claude 协助）：帮助个人更好地完成他们当前的工作，使每个人都能成为最好的自己。

在柏林 JS 大会上演讲，主要讲述了过去他在设计 Node 时犯的一些错误，包括 Node 安全、构建系统 (GYP)、package.json 等方面上的问题，并阐述了开发新项目 Deno 背后的一些故事、原因和未来规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。不过，Deno 显然不愿意屈居人后，也在 v2 版本支持了这个内嵌功能，目前落后的只有 Node.js 了，官方默认的。因为 Node.js 已经占据了先驱者的生态位，是它制定了规则，创造了一切，已经根深蒂固，盘根复杂。

本文由林不渡和 Deepseek 冠名完成。本文部分内容参考:TypeScript 在昨天官宣使用 Go 语言 对 TypeScript 进行全面重写(blog:在基准测试中，在一些大型的 TypeScript 项目中使用tsc进行编译能得到 10 倍左右的速度提升，更有一些其他项目能有 15 倍左右的提升，参考 Blog 里面给出的基准项目参考:近些年的 TS 更新中，也有一些关于性能提升做出的努力，例如 TypeScript 5.0 的一次 namespace 到 module 变更(

就在上周，TypeScript 发布了 5.8 版本，其中有一个改动是添加了配置选项，开启后仅允许使用可擦除语法，否则会报错。enum就是一个不可擦除语法，开启配置后，使用enum会报错。例如，如果在 tsconfig 文件中配置（只允许可擦除语法），此时使用不可擦除语法，将会得到报错：可擦除语法就是可以直接去掉的、仅在编译时存在、不会生成额外运行时代码的语法，例如typeinterface。

The简单来讲 MCP 是 Anthropic 提出的一个用于标准化应用程序如何向大语言模型提供上下文的开放协议，相当于模型与各种应用程序之间的 USB-CMCP 使用 C/S 模式，它们之间用一种标准的消息格式（基于JSON-RPC）交流MCP Client：嵌入在 AI 应用内（比如 Cursor），负责跟服务器“聊天”，根据用户自然语言，智能发起 MCP 服务调用，获取数据、资源或命令执行MCP Server 器：开发者提供的向模型暴露内部数据、资源、功能的服务。

作为一个外包前端，我已经习惯了上边这些话。后端、产品、运营、甚至扫地阿姨，都可以肆无忌惮的碾压我的自尊，这一切只因为，我是一个外包。2020年，刚毕业的我和四个应届生一起来到这家不大不小公司，外包团队一共六个人，都是前端。我们还有一个前辈，比我们早来两年，但也一直没转正。这家公司重点是后端平台，前端在这里只是工具人，干活多，拿钱少，所以在其他人眼里，前端不过是可有可无的存在。所有人对我们态度都很敷衍。我们甚至连代码仓库权限都没有，提交代码需要复制文件给后端帮忙提交。

Cursor+MCP 的组合，为我们提供了一种全新的工作方式，让我们能够专注于创造性思维和解决方案设计，而将繁琐的实现细节交给 AI 助手。也许，如同 HTTP 是互联网的基石协议一样，MCP 可能将成为 AI 时代新的底层智能体互联协议，让我们共同期待！你目前在开发中遇到的最大痛点是什么？你认为 Cursor+MCP 能否解决这个问题？如果你可以设计一个自己的 MCP 服务，你会希望它具备什么功能？欢迎加我一起探索 AI 编程！欢迎在评论区分享你的想法和经验，让我们一起探索 AI 编程的美好未来。

(MCP) 是由Anthropic公司推出的一个开放协议，它标准化了应用程序如何向大型语言模型 (LLM) 提供上下文和工具的方式。我们可以将 MCP 理解为 AI 应用的"USB-C 接口"——就像 USB-C 为各种设备提供了标准化的连接方式，MCP 为 AI 模型提供了与不同数据源和工具连接的标准化方式。读取和写入本地文件查询数据库执行命令行操作控制浏览器与第三方 API 交互这极大地扩展了 AI 助手的能力边界，使其不再仅限于对话框内的文本交互。

Web 安全的对于 Web 从业人员来说是一个非常重要的课题，所以在这里总结一下 Web 相关的安全攻防知识，希望以后不要再踩雷，也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法。也许你对所有的安全问题都有一定的认识，但最主要的还是在编码设计的过程中时刻绷紧安全那根弦，需要反复推敲每个实现细节，安全无小事。本文代码 Demo 都是基于 Node.js 讲解，其他服务端语言同样可以参考。

业务安全，按照百度百科的解释：业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台（操作系统、数据库等）、业务系统自身（软件或设备）、业务所提供的服务的安全；狭义的业务安全指业务系统自有的软件与服务的安全。我的理解：某个平台上的业务是指该平台用户在使用过程中涉及到的一系列流程，而业务安全就是保证这些流程按照预定的规则运行。通过对比正常用户与马甲用户的行为、指纹等，标识马甲用户。从上面的一些威胁可以看出，账号体系安全是其他业务的基础，与许多业务直接相关。

也就是说，请求带上了相应的token，那么服务端就能拿到token做相应的校验，校验通过则信任该请求并执行相关业务逻辑，如果没带、带一个非法的或者过期的则认为不合法。实际上，除了这些基础且标准化的漏洞，每个业务系统本身的业务逻辑也很有可能成为黑客攻击的目标，一旦被抓到并攻破，那后果将是非常严重的。但后台开发小哥也许在设置token过期的配置中，眼花加手抖，多打一位数，或者把单位理解错，在S级单位上用了MS级的数值，那过期时间就会被设定的很长。但是，这个判断在一些web程序中，只在前端做了，在后端没做。

这是安装期间创建的原始登录名，sa账户无法删除，但为了安全，需要将sa账户禁用，查看sa账户状态使用下面的SQL命令。在SQL Server配置管理器中，SQL Server网络配置，将对呀IP中的端口改为自己喜欢的就可以了，不过再重新连接SQL Server的时候，记得加上端口号。安装SQL Server实例，会默认分配一个TCP端口1433，用于通信，为了确保安全，可以给SQL Server分配一个非标准端口，如3341等。在弹出的属性对话框中，选择安全性，在登录审核选项中，选择失败和成功的登录。

在平时学习安全中常常会有涉及到。

语言模型」是一种「人工智能系统」，旨在处理、理解和生成类似人类的语言。它们从大型数据集中学习模式和结构，使得能够产生连贯且上下文相关的文本，应用于翻译、摘要、聊天机器人和内容生成等领域。

大模型需要大量的数据来“喂养”，这些数据里可能包含用户的个人信息，如何保护这些信息的隐私和安全，是个大问题。大模型的参数太多，内部机制太复杂，很难理解它是怎么做决定的，这在一些对决策可解释性要求高的领域，比如医疗、金融等，可能会影响它的应用。更厉害的是，大模型还能根据你的要求写文章，而且写得还挺溜，有理有据的。比如，在诊断肺部疾病时，大模型可以分析肺部CT影像，看看有没有病变，还能判断病变的类型和严重程度，帮助医生更准确、更快速地诊断。而且，大模型还能根据聊天内容，理解你的意思，做出更智能、更贴心的回应。

推理框架关键特点适用场景优势ReAct思考-行动-观察循环实时工具调用、交互式任务实时反馈、工具调用灵活显式中间推理步骤需要明确计算与推理的问题提高推理准确性与可解释性树状多路径探索复杂规划与决策问题深度探索、多路径评估。

由于特征签名的的唯一性可对一样本实现100%的查杀率，但由于特征签名具有的唯一性，仅能实现一对一（即一个签名值仅能匹配一个恶意文件），这种方法虽然不可能出现误报的情况，但所需的病毒库体量会过于庞大，且只要恶意代码作者重新编译文件或改变任何一个字节，都会使得该签名值无法匹配，但是由于签名计算实现十分简单快速，因此基于特征签名的检测技术适合对突发的一种恶意代码进行应急响应，前提是恶意代码不会动态更新其本体。以上的种种检测技术丰富了与恶意代码的对抗手段，同时也提供了对层出不穷的新病毒的检测能力以及应急响应能力。

What），不知道敌人是谁，什么时候来攻击，为什么来攻击，使用什么来攻击等等，没有这些情报等同于盲人摸象，不清楚该使用什么样的防御手段，防御成本就会很高。恶意代码的深入分析，正是应对6W难题的有效方法，以此揭示攻击者的技战术、策略和程序，从而为防御者提供宝贵的信息，以构建更为坚固的安全防线。他还探讨了样本中的混淆技术、加壳手段以及对抗分析方法的使用，这些高级技术的使用增加了分析的难度，但也为安全专家提供了研究和对抗的新方向。通过对这些技术的深入理解，可以更有效地构建防御措施，提高网络空间的安全性。

在这里我们利用逆向界的倚天剑和屠龙刀，IDA和OD来对熊猫烧香进行逆向分析，对其内部实现的原理有个了解，因为篇幅关系不会对整个程序彻底分析，而是挑拣一些重要内容进行分析。有兴趣的可加QQ群：1145528880 （一起学习 逆向、PWN二进制安全、Web信息安全、IoT安全、游戏逆向分析原理交流）黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。

点击蓝字 · 关注我们前言恶意代码分析是一个安全从业者非常重要的一个技能点。参考书籍:<<恶意代码分析实战>>相关知识ZF 当一个运算的结果等于0时，ZF被置位，否则被清除CF 当一个运算的结果相当于目标操作数太大或太小时，CF被置位，否则被清除SF 当一个运算的结果为负数，SF被置位；若结果数为正数，SF被清除。对算术运算，当运算结果的最高位置为1时，SF也会被置位TF TF用于调试，当它被置位时，x86处理器每次只执行一条指令。

PyPI作为Python包管理平台，为开发人员提供了便捷的工具来加速功能实现和提升工作效率。然而，PyPI生态的迅速扩展也伴随着恶意包的广泛传播问题。开发者通过将恶意包伪装成常规组件来威胁下游用户和项目的安全。当前，PyPI恶意代码检测领域面临着高质量、大规模数据集的缺乏，这限制了对该生态中恶意代码特征的深入了解。为应对这一挑战，本研究构建了一个自动化恶意代码收集框架，利用PyPI镜像站点及其他渠道收集高质量恶意代码数据，并在此基础上进行实证研究，以揭示PyPI生态中恶意代码的特性。

在现代社会中，网络安全已成为一个至关重要的领域。随着技术的进步和互联网的普及，网络攻击变得越来越复杂和频繁。了解和掌握网络安全的基本术语，对于从业人员和普通用户来说都十分必要。本文将详细介绍网络安全领域需要熟知的50个术语，帮助读者更好地理解和应对各种网络威胁。

近期的研究表明，强化学习可以显著提高模型的推理能力。例如，DeepSeek-R1 通过整合冷启动数据和多阶段训练，实现了最先进的性能，使其能够进行深度思考和复杂推理。这一次，我们探讨了大规模强化学习（RL）对大语言模型的智能的提升作用，同时推出我们。这是一款拥有 320 亿参数的模型，其性能可与具备 6710 亿参数（其中 370 亿被激活）的 DeepSeek-R1 媲美。这一成果突显了将强化学习应用于经过大规模预训练的强大基础模型的有效性。此外，我们还在推理模型中。

随着最近大语言模型的快速迭代升级，AI代理已不再是新事物，当我们把多个代理放在一起，创造一个团队的代理能力将远远超过一个单独的代理。从维持家庭温度的简单反射代理到驾驶汽车的更高级代理，AI代理将无处不在。未来每个人都可以更容易地创建自己的代理和自己的代理团队。它使人们能够在几分钟内完成可能需要几小时或几天的任务!

随着大型语言模型（LLMs）展现出显著的智能，将其应用于自主代理规划模块的研究受到了广泛关注。本综述首次系统性地审视了基于 LLM 的代理规划，涵盖了提升规划能力的最新研究成果。我们对现有的 LLM-代理规划研究进行了分类，将其分为任务分解、计划选择、外部模块、反思和记忆等类别，并针对每个方向进行了深入分析。同时，我们也探讨了该研究领域面临的挑战。Autonomous agents 又被称为智能体Agent。能够通过感知周围环境、进行规划以及执行动作来完成既定任务。

在金融时间序列预测这块，用大语言模型精准预测股票走势特别重要。不过，现在的大模型算法问题挺明显的。不管是学术界还是行业内，大家都特别关注怎么让大模型在处理金融数据时表现得更好。但目前这些模型，在推理效率和捕捉金融数据复杂模式的能力上都不太够。尤其是从海量的金融时间序列数据里精准提取关键信息，用来做可靠的预测，这里面还有好多问题没解决呢，这可大大限制了金融预测的准确性和实用性。现在，研究和实际应用都碰到了不少难题。第一，金融时间序列数据量特别大，还到处都是噪声。

作者遴选了2025年度典型的RAG系统和论文（含AI注解、来源、摘要信息），并于文末附上RAG综述和测试基准材料，希望阅读完本文可以帮助大家速通RAG。▍作者：范志东，蚂蚁图计算开源负责人、图计算布道师回顾2025，大模型日新月异，智能体百家争鸣。作为AI应用的重要组成部分，RAG也是“群雄逐鹿，诸侯并起”。年初ModularRAG持续升温、GraphRAG大放异彩，年中开源工具如火如荼、知识图谱再创新机，年末图表理解、多模态RAG又启新征程，简直“你方唱罢我登场”，奇技叠出，不胜枚举！

前段时间偶然间在一朋友处获得了多个系统的web日志，并被被要求针对这些日志进行分析。一时兴起，随便打开了一个，打开后发现日志数量极大，接着又打开了好几个，发现每个系统的日志量都极大的。起初准备找web日志分析工具，收集一番后对这些日志分析工具不熟悉，因此凭着经验进行分析。联想到有的朋友可能会右这方面的需求，在此针对这些分析，我在此进行分享。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。

人工智能生成内容（AIGC）的发展得益于模型算法的进步、基础模型规模的增加以及大量高质量数据集的可用性。虽然AIGC取得了显著的性能，但仍面临一些挑战，如难以保持最新和长尾知识、数据泄露的风险以及与训练和推理相关的高成本。检索增强生成（RAG）最近出现作为一种范式来解决这些挑战。具体而言，RAG引入信息检索过程，通过从可用数据存储中检索相关对象来增强生成过程，从而提高准确性和鲁棒性。本文全面审查了将RAG技术整合到AIGC场景中的现有努力。

检索增强型生成（RAG）能够为像大型语言模型（LLMs）这样的生成型 AI 模型提供可靠和最新的外部知识，增强其能力。LLMs 已经展示了革命性的语言理解和生成能力，但仍然面临着幻觉和过时的内部知识等局限性。**检索增强型大型语言模型（RA-LLMs）**利用外部知识来解决 LLMs 的局限性，减少仅依赖内部知识的情况。。当用户的查询超出范围时，例如，在训练数据中未见过的内容或需要最新信息来回答时，LLMs 可能会显示出较差的生成性能。在RAG的帮助下，的全面概述，RAG框架涉及检索、生成和增强组件。

RAG 检索准确率（Recall）是衡量检索系统能否找到与用户查询相关的所有文档的指标。它在 RAG 系统中尤为重要，因为如果检索阶段无法提供足够的上下文，即使生成模型再强大，也难以输出高质量结果。高检索准确率是确保生成内容相关性的基础。检索准确率（Recall）公式如下：示例：用户查询 “Swedish massage in Helsinki”。数据库中有 10 条相关文档，检索系统返回 9 条相关文档和 1 条不相关文档。核心在于检索阶段的优化：生成效果的提升离不开高质量的检索结果。

RAGFlow 是一款基于深度文档理解的开源检索增强生成（Retrieval-Augmented Generation，RAG）引擎，旨在通过结合信息检索和生成式 AI 的优势，解决现有技术在数据处理和生成答案方面的挑战。