Python_0011的博客

• 我两年前研究过fastjson，jackson，gson，fastjson和jackson类似，架构比较相似，gadget通用，但是fastjson相当坑，为了方便牺牲了安全性，包括前期的默认打开autotype机制，中期的cache机制，代码实现都是kpi赶出来的，像最近的dos。一些网站管理员在发布代码时，不愿意使用‘导出’功能，而是直接复制代码文件夹到WEB服务器上，这就使.svn隐藏文件夹被暴露于外网环境，黑客可以借助其中包含的用于版本信息追踪的entries文件，获取站点信息。

业务问题产生的漏洞很多，一些扫描器、WAF等安全产品也难以覆盖，尤其一些新上线的大型业务系统接口多，功能点的逻辑复杂，容易产生被忽视的漏洞，是SRC漏洞挖掘的重点部分，同时也提醒我们甲方此类安全测试的重要性。正常当我们输入错误的验证码时，请求会返回验证码错误信息且刷新一次验证码，当我们将客户端刷新验证码的请求hold住时，验证码处会一直停留在原始的验证码，不会再做刷新，此时我们就可绕过验证码刷新并使用burpsuite进行账户密码的暴力破解了。大白也帮大家准备了详细的学习成长路线图。

该漏洞被归为缓冲过度读取。：在支付过程中发生用户替换现象，首先登陆自己的账户，然后取得另外一个人的账户名等有效信息，在业务流程中用对方的用户名替换自己的用户名，用对方的余额购买完成后，再替换自己的账户名，这样就形成别人的钱买自己的东西。找到喜欢的商品，添加购物车，提交订单，支付订单，基本的流程是这样的，但是这三个流程可能会存在业务设计的缺陷，其他可以通过修改产品的数量，产品的实践，优惠券，产品的id，sku值等等。这个时候还可以继续在购物车中加入商品，支付结束之后，商家发放的商品是现在的购物车里面的东西。

这使得FastTunnel成为一种强大的解决方案，适用于各种应用场景，无论是开发者需要将本地服务远程暴露，还是需要创建自定义内网穿透解决方案的高级用户，FastTunnel都提供了便捷且高性能的选择。总之，Frp为用户提供了一种高效、多功能的内网穿透解决方案，让他们能够轻松实现内网服务的远程访问和分享。它们的共同目标是克服网络设备和防火墙的限制，使内网资源能够通过互联网远程访问，无论是为了开发、管理服务器，还是分享本地项目或提供远程支持，这些工具都为用户提供了便捷的解决方案，确保数据传输的安全性和可达性。

在日常工作中我们需要将本地的某些端口如22803306等端口分享。让别人或者不在同一局域网内的设备访问。我们需要端口映射（内网穿透）的方式让其暴露在公网，以便访问。本文为大家总结常用内网映射的工具和方法，进行简单的总结。希望对你有所帮助。

它要求前端开发工程师不仅要掌握基本的Web前端开发技术，网站性能优化、SEO和服务器端的基础知识，而且要学会运用各种工具进行辅助开发以及理论层面的知识，包括代码的可维护性、组件的易用性、分层语义模板和浏览器分级支持等。做到这两点，其实很难。：不仅有JavaScript方面的介绍，还有CSS、HTML方面的介绍，但是介绍的内容却都非常不错，真正考虑到了一个大型的Web程序下，如何进行JavaScript架构设计，值得一读。Web前端开发是一项很特殊的工作，涵盖的知识面非常广，既有具体的技术，又有抽象的理念。

多语言混搭工程师，热爱开源技术，喜欢GET新技能，5年 PHP、Python 项目开发经验，带领团队完成多个中、小型项目开发，对安全、云等多个领域富有浓厚兴趣，擅长于 WEB 安全开发、性能优化、分布式应用开发&设计等多方面，做事认真负责，乐于分享技能，现任 51Reboot.com Python 实战班讲师。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」每天的不重复的IP的数量、总的不重复的IP数量（每天不重复的IP数量 之和？

我们如果要操作一个Logger，那么实际就是要拿着这个Logger的名称，去找到Logger，然后再进行操作，这在Logger不多的时候是没问题的，但是假如我有几十上百个Logger呢，一个一个去找到Logger再操作无疑是很不现实的，一个实际的场景就是修改Logger的级别，如果是通过Logger的名字去找到Logger再修改级别，那么是很痛苦的一件事情，但是如果能够把所有Logger按照功能进行分组，我们一组一组的去修改，一下子就优雅起来了，LoggerGroup就是干这个事情的。

本文作者 : 木禾 (英文 ID:Ali0th)日志分析，其实涵盖的面是很广的，什么地方都可以有日志。而本篇文章主要针对 web 日志做一下分析。因为之前去学校里授课的时候有讲过一次，感觉内容挺不错的，就写到了文章里。（可绝不是偷懒什么的呢o(´^｀)o）【链接: https://pan.baidu.com/s/1o7FcHui 密码: jpdn】

以上就是我写的探测 SQL 注入的工具逻辑和关键点，未来实战过程中还会根据实际情况进行优化更新黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」「在看」「赞」**网络安全/渗透测试法律法规必知必会****

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。SQL 注入是指web应用程序对用户输入数据控制不严格，导致用户输入数据被拼接到SQL语句中被数据库执行导致的安全问题。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」”SQL注入常常会使数据库脱库，SQL注入仍是现在常见的web漏洞之一。

联合注入Payload报错注入Payloadextractvalue函数updatexml函数BigInt数据类型溢出floor函数堆叠注入Payload盲注Payload布尔盲注。

SSRF（Server-Side Request Forgery，服务端请求伪造）漏洞通常是由于目标应用程序未正确验证用户输入数据，导致攻击者发送伪造的请求，绕过网络防御，获取敏感信息或利用其他漏洞进行进一步攻击。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。

在统一安全策略下防护系统免受外来有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难和其他相应程度的威胁所造成的主要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭受攻击损害后，能较快恢复绝大部分功能。能够防护系统免受外来小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难及其他的相应程度的威胁造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在遭受攻击损害后，具备在一段时间内恢复部分功能。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

简称等保，网络安全法要求网络运营者应当按照网络安全等级保护制度的要求，履行信息系统安全保护义务，保障信息系统免受干扰、破坏或者未经授权的访问，防止信息数据泄露或被窃取、篡改。适用于一般的信息系统，其受到破坏后，会对公民、法人和其他组织的合法权益产生损害，但不损害国家安全、社会秩序和公共利益。：依据等级测评结果，针对系统存在的安全短板等问题，进行全方位的整改，整改完成，没有问题，会颁发相对应的等保证书。适用于一般的信息系统，其受到破坏后，会对社会秩序和公共利益造成轻微损害，但不损害国家安全。

它是一种电子商务系统，主要用于管理订单、库存、物流和客户服务等方面的业务流程。（Enterprise Resource Planning，企业资源计划系统）：ERP系统是一种用于管理企业各类资源的软件系统，包括生产管理、采购管理、库存管理、财务管理等功能模块，帮助企业实现资源的优化配置和管理。（Supply Chain Management，供应链管理系统）：SCM系统是一种用于管理供应链的软件系统，包括采购管理、供应商管理、物流管理、库存管理等功能模块，帮助企业实现供应链的协同和优化。

什么是 CMS？合规管理系统 (CMS) 是一个用于满足监管要求、内部政策和行业标准的集成系统。有效的 CMS 可帮助组织避免不合规领域并实现持续的法规合规性。顾名思义，合规管理系统就是一个系统。它不包括任何一项特定的技术或流程，而是一个工具、业务流程和内部控制的集合体，共同降低合规风险，帮助组织履行合规责任。合规管理系统可以包括从风险评估到合规培训的任何内容。拥有有效的合规管理系统对于组织的合规工作和更广泛的风险管理战略至关重要。

*框架：**框架即Framework，PHP框架简单来说，就是由PHP语言编写的一种可以在项目开发过程中，提高开发效率，创建更为稳定的程序，并减少开发者重复编写代码的基础架构，相当于毛坯房，内部装修可根据自己需求来。**框架：**用框架去开发的时候，虽然速度稍慢，但后续修改灵活，可维护性强，遇到问题可以马上知道错在哪里了，可谓是“一步到位、一针见血”。**CMS：**用CMS去开发的时候，虽然速度快，但后续修改特别是添加功能模块的时候，就不够灵活，会造成速度很慢，甚至不大可能实现。

U家工场最早期的信息化就是将原有在钉钉上的OA流程全部“搬家”至简道云，让原来需要手填的信息，可以下拉框“引用” 其他表单的数据，构建起了业务逻辑关系。另外，利用简道云“数据工厂”的功能，将多个表单、流程的数据进行汇总、筛选、计算、合并等自动处理，得出想要的关键指标进行分析。这就是OA系统采购付款流程的应用实例。各种主数据产品、供应商的开户、采购报价以及采购计划，都是在OA上做录入和审批的，审批完了以后自动传到 SAP ERP系统，后端的付款也是这样，付款申请也在 OA上去发起、审批，然后传到SAP。

OA系统是什么？不同行业应该怎么选OA系统？企业上OA系统应该注意什么？点进这篇推送的朋友应该心中都有这些疑惑。本文就为大家整理盘点了2025最新8大OA系统，从等四大方面进行对比，希望给还在选型的朋友们一些参考！OA，即Office Automation System，意思就是。它是一种专门为企业等组织的日常办公工作提供服务的综合性软件平台。

很多人根本不知道苹果手机有这么个功能，或者知道但一看需要懂基础的开发逻辑，于是就放弃了，那在这方面程序员就有得天独厚的优势。最后，需求市场不小，某书上搜“语音转文字”相关笔记12万+篇，“视频转文字”相关笔记49万+篇，妥妥的中等规模需求。一款工具开发出来，你只要保证后续的迭代就可以，卖1份和卖 1000 份的开发成本是一样的，边际成本几乎为0。如果你有研发能力，以及稍稍有一些运营能力，通过价格和体验上的优势，进场是有机会的。做自媒体发文，如果你的文章里有敏感字，系统不会特别提示的，但是会默默地给你限流。

网络安全学习需要理论与实践结合，从基础网络协议、编程能力到渗透测试工具的使用逐步深入。建议通过以下路径学习：掌握计算机和网络基础 → 2. 学习编程与漏洞原理 → 3. 使用工具进行渗透测试 → 4. 考取认证并积累实战经验。保持持续学习的态度，关注安全社区动态（如FreeBuf、安全客），是成为网络安全专家的关键！黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。

本公众号每日都会更新免费的网安工具，可以关注一下哦，星标我，更容易收到更新！

作者：真爱和自由（先知社区）``原文：https://xz.aliyun.com/t/17030。

以发现系统薄弱环节、提升系统安全性为目标，一般会针对目标单位的从业人员以及目标系统所在网络内的软件、硬件设备执行多角度、全方位、对抗性的混合式模拟攻击，通过技术手段实现系统提权、控制业务、获取数据等渗透目标，从而发现系统、技术、人员、管理和基础架构等方面存在的网络安全隐患或薄弱环节。网络安全的本质在对抗，对抗的本质在攻防两端能力较量。组织方是指网络实战攻防演练中的组织方，开展演练的整体组织、协调工作，负责演练组织、过程监控、技术指导、应急保障、风险控制、演练总结、技术措施与优化策略建议等各类工作。

据thefastmode网报道，ioXt联盟宣布TAC Security成为其认证计划的授权实验室，TAC Security可对物联网设备进行高级安全测试和风险评估，确保符合全球安全标准，其计划将物联网安全评估纳入企业安全一体化框架，相关服务于2025年2月推出。拓墣产业研究院发布《危机与转机：物联网安全如何推动产业升级》，指出物联网装置连线数量持续扩张带来更多安全风险，需从可用性、身份验证、数据隐私等层面加强安全防护，其安全防护需涵盖设备与设备间持续稳定连接、零信任原则下的存取验证以及数据的加密保护等。

同样，在交通领域，若铁路、航空等交通枢纽的网络系统被攻破，航班可能会大面积延误甚至取消，铁路运输停滞，公路交通拥堵不堪，物流供应链也会随之断裂，各类物资无法及时运输调配，进而影响到人们的日常生活以及众多行业的正常运营。而且，这些技术将更加注重用户体验，朝着更便于普通消费者使用的方向发展，比如开发出简单易用的移动端检测应用，让人们在日常浏览网络信息时，能够轻松地对接收到的音频和视频进行真伪鉴别，从而有效抵御虚假信息在网络中的传播，防范因深度伪造信息引发的各种诈骗、声誉损害等复杂的假冒攻击行为。

这是龙哥给粉丝盆友们整理的网络安全渗透测试入门阶段逻辑漏洞渗透与防御第1篇。本文主要讲解如何从零基础带你挖到逻辑漏洞由于程序逻辑不严谨或逻辑太过复杂，导致一些逻辑分支不能正常处理或处理错误，统称为业务逻辑漏洞。常见的逻辑漏洞有交易支付、密码修改、密码找回、越权修改、越权查询、突破限制等，下图是简单的逻辑漏洞总结，在挖掘的过程中更多的时候需要脑洞大开：挖掘逻辑漏洞的过程中，需要一些技巧和非常规思路，有点像边缘测试的思想。

由于nginx默认是用cgi解析php的（即开启fast-cgi模式），由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理,对于任意文件名，在后面添加/xxx.php（xxx）为任意字符后，即可将文件作为php解析,因此和IIS一样制作图片马。dff.php.owf.rar 这个文件名 .owf和.rar 这两种后缀是apache不可识别的解析，apache就会把 dff.php.owf.rar解析成 dff.php。.jpg，由于IIS不解析;

大模型，英文名叫Large Model，大型模型。早期的时候，也叫Foundation Model，基础模型。大模型是一个简称。完整的叫法，应该是“人工智能预训练大模型”。预训练，是一项技术，我们后面再解释。我们现在口头上常说的大模型，实际上特指大模型的其中一类，也是用得最多的一类——语言大模型（Large Language Model，也叫大语言模型，简称LLM）。除了语言大模型之外，还有视觉大模型、多模态大模型等。现在，包括所有类别在内的大模型合集，被称为广义的大模型。

（1）防火墙（ Firewall）定义 : 相信大家都知道防火墙是干什么用的， 我觉得需要特别提醒一下，防火墙抵御的是外部的攻击，并不能对内部的病毒 ( 如ARP病毒 ) 或攻击没什么太大作用。功能 : 防火墙的功能主要是两个网络之间做边界防护， 企业中更多使用的是企业内网与互联网的 NAT、包过滤规则、端口映射等功能。生产网与办公网中做逻辑隔离使用， 主要功能是包过滤规则的使用。部署方式 : 网关模式、透明模式 :网关模式是现在用的最多的模式， 可以替代路由器并提供更多的功能，适用于各种类型企业透明部署是

网络安全是一个很大的概念，包含的东西也很多，比如 web安全，系统安全，二进制安全，无线安全、数据安全、移动安全、工控安全、渗透测试，ctf，售前售后，运维安全，样本分析、代码审计、密码算法、数字取证、安全开发、等保测评等等等等等等。所以，第一步你得知道你将要进入的网络安全行业都有哪些工作岗位，各个岗位都有哪些职责要求，这样你才能明确学习方向，而不至于今天学这个，明天学那个，最后啥也不精。网络安全有哪些学习方向？通过自学，基本的安全知识能够掌握的七七八八，这时赶紧找个工作，只有入圈才能更好、更快的进步。

下面给大家分享一份2025最新版的大模型学习路线，帮助新人小白更系统、更快速的学习大模型！因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取**

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。建议在校期间早规划、多实践，结合自身优势选择赛道，同时保持对行业变化的敏锐度，方能在激烈竞争中脱颖而出。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」的特点，既存在高薪岗位的吸引力，也面临行业调整带来的竞争压力。木马免杀问题与防御********必知必会。掌握Redis未授权访问漏洞。

近年来，随着世界形势的快速变化，人们开始更多地意识到这位“算命先生”预言的准确性，如他正确地预测了英国女王伊丽莎白二世的去世和全球生活成本的飙升，影响了从食物到燃料的方方面面，而他更悲观预测居然是：“小麦涨得如此之高/是那个人在祸祸他的同胞”。根据中国的传统智慧，2025 年也是12生肖的蛇年，是关于人际关系的，是关于在与他人的关系中寻找平衡的一年。很显然，2025年除了是个转折年，同时也可能为政治、社会和经济的重大变革奠定基础，将是一个面对过去的选择承担后果的时刻。在她的侧翼，将会有残酷的战争。

试了一波弱口令发现无果，也找不到其他突破点，信息收集了一下，东西也是少得可怜，然后就尝试查看前端源码，看看在里面能否获得什么信息 在前端源码中看到存在一个资源视图的。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」仅仅一个任意文件下载，其漏洞让我们获取需要的信息的渠道还不够宽，尝试进一步的信息收集 尝试读取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。

（4）对合法的用户没有进行严格的访问控制，使其可以进行越权访问，产生安全事件。云计算纵深防护应用具有身份认证可信增强、软硬件环境安全检查、运行控制、行为审计等功能，通过将可信计算与传统安全防护手段相结合的方式，解决用户非法登录、系统恶意篡改、敏感信息泄露、软件非法安装及运行等安全问题，保障信息系统的可控运行，使平台与网络、应用防护手段共同组成一个深层的、主动的、立体的纵深可信安全防护体系，实现云应用的安全可靠、访问行为的可管可控、数据存储的安全可靠和隐私保护、信息共享交换的可信安全等目标。

信息安全专业毕业生工作方向：可在政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作，也可在IT领域从事计算机应用工作。信息安全专业的专业基础和专业课主要有：高等数学、线性代数、计算方法、概率论与数理统计、计算机与算法初步、C++语言程序设计、数据结构与算法、计算机原理与汇编语言、数据库原理、操作系统、大学物理。信息安全专业学习还有集合与图论、代数与逻辑、密码学原理、编码理论、信息论基础、信息安全体系结构、软件工程、数字逻辑、计算机网络等。

在交底中应将施工组织分工、需要控制的重点、机械设备安全运行、施工中的危险因素、材料供应、道路畅通要求、质量要求、安全注意事项、应急措施、后勤保障供应和各个岗位的安全岗位职责等，向参加施工的作业人员交待清楚，并随时做好安全防护措施。反映在编写的资料中没有工程概况、没有交待清楚施工重点、没有施工工艺和重点工序的点评、没有指出施工存在的难度和危险的内容、没有提出控制安全质量的措施、没有配合质量检查验收提供的条件、没有应对危险的安全技术措施和预防措施、没有应对突发事件的应急措施、没有描述可能发生的事故及预防措施。

要比较密码算法的强弱是极其困难的，因为密码算法的强度并不像数学那样可以进行严密的证明，密码算法的强度只能通过事实来证明，如果专业密码破译者经过数年的尝试仍然没有破解某个密码算法，则说明这种算法的强度较高。这样的密码在外行看来貌似牢不可破，但在专业密码破译者的眼里，要破解这样的密码几乎是手到擒来。反过来说，将密码算法的详细信息以及程序源代码全部交给专业密码破译者，并且为其提供大量的明文和密文样本，如果在这样的情况下破译一段新的密文依然需要花上相当长的时间，就说明这是高强度的密码。