leah126的博客

等保测评，是由有资质的“考官”（测评机构），按照国家网络安全等级保护的“考试大纲”（规范规定），对“考生”（等保对象，比如信息系统、数据资源、云计算、物联网、工业控制系统等）进行“考试”（检测评估）。然后，根据测评结果，“对症下药”，进行整改加固，构建起牢固的网络安全管理体系。，还能在向客户提供服务时，给出一个“安全承诺”，增强客户、合作伙伴和利益相关方的信心，让你的企业在行业里更有“面子”！，全称是网络安全等级保护，就是给网络信息和信息载体按重要性划分等级，然后根据不同的等级，采取不同的安全保护措施。

仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。暴力破解，是一种针对于密码的破译方法，将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码，其可能共有10000种组合，因此最多尝试10000次就能找到正确的密码。而当遇到人为设置密码（非随机密码，人为设置密码有规律可循）的场景，则可以使用密码字典（例如彩虹表）查找高频密码，破解时间大大缩短。

弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的互联网账号受到他人控制，因此不推荐用户使用。

工具目前支持SSH、RDP、SMB、MySQL、SQLServer、Oracle、FTP、MongoDB、Memcached、PostgreSQL、Telnet、SMTP、SMTP_SSL、POP3、POP3_SSL、IMAP、IMAP_SSL、SVN、VNC、Redis等服务的弱口令检查工作。超级弱口令检查工具是一款Windows平台的弱口令审计工具，支持批量多线程检查，可快速发现弱密码、弱口令账号，密码支持和用户名结合进行检查，大大提高成功率，支持自定义服务端口和字典。

网站管理、运营人员由于安全意识不足，为了方便、避免忘记密码等，使用了非常容易记住的密码，或者是直接采用了系统的默认密码等。攻击者利用此漏洞可直接进入应用系统或者管理系统，从而进行系统、网页、数据的篡改与删除，非法获取系统、用户的数据，甚至可能导致服务器沦陷。弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。

后来，我在impacket 示例文件下找到了rdp_check.py，这个脚本可用于测试目标主机上的帐户是否有效。我曾写过一款弱口令检测工具，经常有童鞋在后台询问关于iscan源代码的事情，但其实通过Python打造自己的弱口令扫描工具是一件非常简单的事情，无非就是将多个Python扫描脚本集成在一起。今天，分享一些常见的端口服务扫描脚本，根据自己的需求来改写脚本，在实战中应用更切合实际游刃有余。在内网检测中，弱口令扫描是必不可少的环节，选择一个好用的弱口令扫描工具，尤为重要。

名称：Tomcat-pass-getshell 弱口令描述: Tomcat是Apache 软件基金会（Apache Software Foundation）的Jakarta 项目中的一个核心项目，由Apache、Sun 和其他一些公司及个人共同开发而成。通过弱口令登录后台，部署war包geshell。

在有了场景信息后，下一步是验证每个接口和链路的故障表现，明确在业务场景下的强弱依赖关系，发现不合理的依赖问题，为了解决场景链路到故障点创建和执行的鸿沟，我们打通了故障演练平台与场景元信息平台的数据交互，使其可以在场景元信息平台上一键进行故障创建和演练执行，极大的提升了演练效率，将每个故障点的演练耗时从分钟级降低到秒级。通过主动模拟故障的方式，验证活动玩法、流量业务、直播看播、社区互动等春晚相关核心服务的稳定性，解除非合理强依赖，明确强依赖故障场景下的降级预案和兜底容错。

🌟▎🤖| Claude模型展现自我意识▎💼| 亚马逊发布成本仅H1/4的Trainium AI芯片▎📜| 斯坦福学者呼吁优先关注AI伦理与透明度▎🔍| 二进制量化技术提升向量检索40倍▎💡| 腾讯Hunyuan3D生成速度提升30倍。

Model Context Protocol (MCP)是Anthropic在2024年推出的开放标准，旨在统一大型语言模型(LLM)与外部数据源和工具之间的通信。它解决了AI模型因数据孤岛限制而无法充分发挥潜力的问题，使AI应用能够访问和操作本地及远程数据。MCP 是让不同 AI 模型和外部工具通过统一接口协作的通信协议，类似给所有设备统一用USB-C 接口。

上一篇已经聊过日志上报的调度原理，讲述如何处理日志上报堆积、上报失败以及上报优化等方案。从上家公司开始，监控就由我们组身强体壮的同事来负责，而我只能开发Admin和H5；经过一系列焦虑的面试后，咸鱼翻身，这辈子我也做上监控了。千万不要以为我是因为监控的重要性才这么执着，人往往得不到的东西才是最有吸引力的。在写这篇文章时，我也在思考，为什么走到哪里都会有一群程序员喜欢封装监控呢？即使换个公司、换个组，依然可能需要有人来迭代监控。嗯，话不多说，先点关注，正文开始。

Zulu 具备强大的任务分解和自我反思能力，能够处理强依赖业务上下文的开发需求。例如，在这个围棋游戏中：Zulu 会先进行需求分析，进行任务的拆解。然后进行技术选型，设计对应的技术方案。再规划任务，创建文件结构。

未来的Web前端将呈现多维融合、智能主导、体验升维的特征，但同时也面临碎片化加剧、伦理风险、技术债务等挑战。对开发者的建议：深耕底层能力：浏览器原理、网络协议、数据结构等知识比框架更持久。拥抱AI协作：学习提示工程（Prompt Engineering），成为“AI策展人”而非代码苦力。关注垂直场景：Web3、元宇宙、高性能计算等领域将诞生新机会。保持技术批判性：不盲目追随“新轮子”，专注于解决真实用户问题。未来的前端开发者可能不再被称为“前端”，而是体验工程师。

卓越领先！轻松无头管理内容 -

作者：辰木。

ramda函数式库，提供优雅的调用方式来实现业务逻辑，地址ramdakoa-static提供静态资源访问，具体用途在项目实现细节里面会详细介绍koa-logger控制台输出请求日志，方便开发中进行调试koa-body处理请求报文，让koa可以方便的拿到post/put的数据处理session相关操作koa2-cors本地联调时通过cors方式处理跨域问题ioredis基于nodejs的redis客户端，性能和操作方式都非常优秀jsonschema。

Headless CMS 是一种内容管理系统（Content Management System），它将【头部Head】表示层（内容呈现的地方）与【身体Body】后端（内容管理的地方）分离开来。即，把表示层和后端信息层分离开了。这样，我们可以根据需要在 Web、移动和数字媒体平台上重复使用和重新混合内容。您甚至可以在印刷品中重复使用您的内容。与格式无关的内容为所有参与者（作者、开发人员和用户）提供了变革性的体验。作者受益于使用结构化数据模型构建的完全可自定义的编辑器。

这是我参与8月更文挑战的第2天，活动详情查看：AngularJS 带有内置的依赖注入机制。您可以将您的应用程序分为多个不同类型的AngularJS可以注入到每个等组成。模块化您的应用程序可以更容易地重新使用，配置和应用程序测试组件。这些核心类型可以注入到彼此使用AngularJS依赖注入机制。纵观本文的其余部分，我将解释如何定义和注入这些组件相互转化。

slot 是 Vue 中的一种用于 组件内容分发 的机制。它允许父组件向子组件插入内容，从而使组件更加灵活和可复用。

Cursor+MCP 的组合，为我们提供了一种全新的工作方式，让我们能够专注于创造性思维和解决方案设计，而将繁琐的实现细节交给 AI 助手。也许，如同 HTTP 是互联网的基石协议一样，MCP 可能将成为 AI 时代新的底层智能体互联协议，让我们共同期待！你目前在开发中遇到的最大痛点是什么？你认为 Cursor+MCP 能否解决这个问题？如果你可以设计一个自己的 MCP 服务，你会希望它具备什么功能？欢迎加我一起探索 AI 编程！欢迎在评论区分享你的想法和经验，让我们一起探索 AI 编程的美好未来。

自从用了 Cursor 之后就离不开她了，AI 生成这块儿简直不要太好用。当然对于我这个 Java 开发来说，也有不好用的地方，那就是 IDEA 用习惯了，用 Cursor 写代码和调试总感觉不舒服，于是选择了让他们各司其职，IDEA 开发调试，Cursor 用来生成。双开的话用着用着弊端就凸显了，两个软件跳来跳去很不方便，于是我开发了两个插件，方便在 IDEA 和 Cursor 之间丝滑切换，并且打开的文件和光标所在的位置一致。这两个插件是开源的欢迎大家star、使用和提供反馈建议。

自定义指令使您能够定制，以根据您和您的团队的工作方式提供聊天响应和代码建议。在您的工作区中的文件中描述您的特定要求 Markdown 格式。在这个里程碑中，我们正在使用制作自定义指令，以供普遍使用。确保已启用VS Code 设置，然后 Copilot 将在生成响应时使用这些指令。如果您是 Copilot Free 用户，则需要了解配额信息。编辑器相关设置，例如代码完成。使用其他 Copilot 功能的有用键盘快捷键。可以通过状态栏中的副驾驶图标访问副驾驶状态概览。您可以使用设置。

在经历了从VSCode到Cursor的转变后，我深刻体会到AI辅助开发工具已经不仅仅是一个代码补全助手，而是evolving成为一个真正的开发伙伴。功能特性Cursor对比说明基础功能代码补全✅ 更智能的上下文理解✅ 基于上下文补全Cursor的补全更准确，理解更深入多行编辑✅ 智能批量编辑⚠️ 仅支持基础多光标Cursor支持更智能的批量修改代码解释✅ 实时、详细✅ 基础解释Cursor的解释更加详细和准确AI 特性对话功能✅ 内置Chat功能。

爆肝一周，每天搜索和整理 2h，终于写完了。希望给所有前端开发员的同学一份专业详细的参考目录。近期有计划面试的同学，可到面试派刷题，学习面试流程和技巧。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」「在看」「赞」**

上次我们在说mybatis 的 plugin 功能的时候，提到了其可作用于myBatis 的四大组件，也放了一个基础的模型图，但是对于这四大组件更具体的功能和原理：却没有进一步说明，今天就来完成这项工作Statement 是Java JDBC API中定义的一个接口，位于java.sql 包下，是一种执行静态SQL语句的对象，可以用于执行SQL语句的查询、更新、插入和删除等操作。

(MCP) 是由Anthropic公司推出的一个开放协议，它标准化了应用程序如何向大型语言模型 (LLM) 提供上下文和工具的方式。我们可以将 MCP 理解为 AI 应用的"USB-C 接口"——就像 USB-C 为各种设备提供了标准化的连接方式，MCP 为 AI 模型提供了与不同数据源和工具连接的标准化方式。读取和写入本地文件查询数据库执行命令行操作控制浏览器与第三方 API 交互这极大地扩展了 AI 助手的能力边界，使其不再仅限于对话框内的文本交互。

MacDevKit 的另一个强大之处在于它的可定制性。你可以通过编辑init.sh添加或删除要安装的工具和应用程序修改 Git 配置和 SSH 密钥生成调整 VS Code 扩展更改 macOS 系统设置"your-new-extension-id" # 添加你的扩展MacDevKit 是一个强大的工具，它可以帮助你在几分钟内配置好一个完整的 macOS 开发环境，省去繁琐的手动配置过程。无论你是刚入行的新手，还是经验丰富的老手，MacDevKit 都能为你节省大量时间和精力。

3月8日夜，整个公司都在为妇女节活动做着最后的冲刺，但我们开发团队却暗流涌动，最终我们在前端Leader的带领下全面夺权，发动闪电战，全面接管后端服务，将公司技术架构推向全栈。公司的核心系统主要使用 Java 编写，后端API网关是用 Spring Boot 开发的。每次流量激增时，API网关的响应速度都变得迟钝，出现大量超时和 5xx 错误，有很深的隐患。那天中午，公司发布了一个3.8运营活动，并进行大规模的促销活动。随着流量暴增，API网关开始出现了瓶颈——请求的处理时间变得越来越长。

等保测评，是由有资质的“考官”（测评机构），按照国家网络安全等级保护的“考试大纲”（规范规定），对“考生”（等保对象，比如信息系统、数据资源、云计算、物联网、工业控制系统等）进行“考试”（检测评估）。然后，根据测评结果，“对症下药”，进行整改加固，构建起牢固的网络安全管理体系。，还能在向客户提供服务时，给出一个“安全承诺”，增强客户、合作伙伴和利益相关方的信心，让你的企业在行业里更有“面子”！，全称是网络安全等级保护，就是给网络信息和信息载体按重要性划分等级，然后根据不同的等级，采取不同的安全保护措施。

这块内容知识点又多又杂，想要，没个思维导图怎么行？别急，今天我给大家找来了，保证你轻松理清思路，快速get关键内容。，看完之后最好能，让计算机网络的知识在你脑海里“串联”起来。

Web 安全的对于 Web 从业人员来说是一个非常重要的课题，所以在这里总结一下 Web 相关的安全攻防知识，希望以后不要再踩雷，也希望对看到这篇文章的同学有所帮助。今天这边文章主要的内容就是分析几种常见的攻击的类型以及防御的方法。也许你对所有的安全问题都有一定的认识，但最主要的还是在编码设计的过程中时刻绷紧安全那根弦，需要反复推敲每个实现细节，安全无小事。本文代码 Demo 都是基于 Node.js 讲解，其他服务端语言同样可以参考。

也就是说，请求带上了相应的token，那么服务端就能拿到token做相应的校验，校验通过则信任该请求并执行相关业务逻辑，如果没带、带一个非法的或者过期的则认为不合法。实际上，除了这些基础且标准化的漏洞，每个业务系统本身的业务逻辑也很有可能成为黑客攻击的目标，一旦被抓到并攻破，那后果将是非常严重的。但后台开发小哥也许在设置token过期的配置中，眼花加手抖，多打一位数，或者把单位理解错，在S级单位上用了MS级的数值，那过期时间就会被设定的很长。但是，这个判断在一些web程序中，只在前端做了，在后端没做。

作为一名合格的网络管理员，首要任务当然是时刻盯着网络，一旦出现问题，就要像猎豹一样迅速出击，解决问题！简单网络管理协议 (SNMP) 仍然是监控各种网络指标的“黄金标准”，从设备和接口的运行状态到带宽、CPU 利用率，甚至硬件设备的温度，统统不在话下。如果你需要基本的服务器负载均衡功能，但又囊中羞涩，Zen Load Balancer 绝对是一款成熟且免费的开源解决方案，能够满足你的大部分需求。除了上面提到的这些工具，再给大家补充一些其他的开源工具，它们不一定执行特定的网络功能，但可以帮助网络管理。

XPost，这款由江湖人称“Skay师傅”的神秘大佬在GitHub上分享的，是专门为那些“身价不菲”的高价值系统量身打造的后渗透工具。它的目标很明确：就是要让红队大佬们在真实的渗透攻击中，实现更全面、更隐蔽、更持久的后渗透信息收集，以及神不知鬼不觉的横向移动渗透。目前已支持的热门应用包括：Zimbra、Confluence、Zoho。

域名嘛，就好比是互联网世界的“门牌号”，也就是。

AI Agent 会利用 LLM 的推理能力，把问题进行拆解，形成一个一个的小问题，并定义好这些小问题之间的前后关系，先处理哪个，再处理哪个。通过调用外部的插件工具，来获取原本LLM并不具备的能力，如：文心的Chat files插件获取文档解析能力；记忆（Memory），把员工以往的汇报内容进行分析，提炼出汇报文案风格、内容格式、汇报周期、汇报人等特征信息，作为长记忆进行存储，供撰写报告时使用。行动（Action），基于工作报告应用开放的执行权限，待LLM成功生成工作报告后，自动执行提交操作，完成任务。

这是安装期间创建的原始登录名，sa账户无法删除，但为了安全，需要将sa账户禁用，查看sa账户状态使用下面的SQL命令。在SQL Server配置管理器中，SQL Server网络配置，将对呀IP中的端口改为自己喜欢的就可以了，不过再重新连接SQL Server的时候，记得加上端口号。安装SQL Server实例，会默认分配一个TCP端口1433，用于通信，为了确保安全，可以给SQL Server分配一个非标准端口，如3341等。在弹出的属性对话框中，选择安全性，在登录审核选项中，选择失败和成功的登录。

大家好，我是苍何。最近一个多月，全身心投入到**「开源项目」「数据库被勒索」**的经历，希望大家足够重视数据库的安全防护。因为是开源项目嘛，为了控制成本，数据库使用的是阿里云 1 核 2G 的 ECS 服务器自己搭建的。想着还在测试阶段，密码干脆就设置的比较简单，没错，就是 123456 😂。并且怎么简单怎么来，用的 docker 快速就搭建了，并没有设置好权限。搭建好后过了一晚，一直在重启，看了下日志，以为是内存不足导致，又给 MySQL 加了**「内存限制和内存保留」**。

业务逻辑漏洞，是由于程序逻辑不严谨或逻辑太过复杂，导致一些逻辑分支不能正常处理或处理错误，这样的漏洞统称为业务逻辑漏洞。简单理解：就是编程人员的思维逻辑不够严谨导致攻击者有机可乘的漏洞逻辑漏洞还是一种虽然没有在中提及到，但是往往会存在的漏洞。好像一名隐士，大隐隐于市，然而造成的破坏可能一点不比sql注入，xss等漏洞小。逻辑漏洞大概出现在如下几处。下面我们根据出现位置来一处一处进行总结了解越权访问的概念，首先要了解授权和验证的概念：授权是指网站赋予特定人对网站特定资源的读写权限。

一. 信息搜集==========