晓翔仔-CSDN博客

原创智能汽车网络安全核心技术实践：基础防护与解决方案

智能汽车网络安全已成为核心安全底线，需构建"基础防护+场景化方案"的纵深体系。基础安全层面，通过安全启动、可信执行环境等保障系统安全，采用分层加密和权限管控保护全生命周期数据安全，运用TLS等协议实现可信互联通信。针对远程控制、软件升级等关键场景，需实施数字签名校验、版本防回退等专项防护措施，形成覆盖车辆全生命周期的安全防护网络，为智能汽车研发和运维提供可靠安全保障。

2025-12-03 11:20:43 940

摘要：本文系统分析了AI技术规模化应用中的安全与合规挑战，提出覆盖数据、模型、算力三大维度的全生命周期控制框架。针对机器学习、深度学习、生成式AI等核心技术，结合行业案例详细剖析典型风险点（如数据偏见、模型黑箱、隐私泄露）及控制措施（数据脱敏、模型加密、Prompt过滤）。通过构建"横向覆盖+纵向穿透"的技术控制体系，实现从数据采集到模型退出的全流程风险管理，为企业平衡技术创新与风险可控提供实操方案，适用于AI安全工程师、技术架构师等专业群体。（150字）

2025-11-26 10:05:44 1115

原创人工智能风险与机遇管理（AI安全管理二）

AI风险管理已成为企业数字化转型的关键环节。本文基于NIST、欧盟AI法案等最新框架，系统梳理了AI风险评估方法与实践路径。核心内容包括：1）构建涵盖技术可靠性、合规性等维度的信任评估体系；2）识别6大类AI风险（技术、数据、伦理等），提供风险清单模板；3）对比分析主流风险框架2025版更新要点；4）提出风险分类矩阵和可接受阈值设定方法。通过工商银行、宁德时代等案例，展示了三维度信任构建法、模型漂移监控等实操方案，为企业实现AI"风险可控、价值最大化"提供系统指导。

2025-11-25 15:41:19 1008

原创人工智能治理与项目管理（AI安全管理一）

摘要： AI治理与项目管理是确保AI项目成功的关键，需兼顾技术、经济、法律可行性，并建立多方协同机制。本文结合招商银行、美的集团等案例，提出AI治理框架，包括：评估准备度：从组织、技术、数据、人才四维度量化评分（≥70分合格）；可行性分析：通过技术验证、成本效益分析（如医疗AI ROI达93%）及法律合规审查；治理架构：设立AI指导委员会，明确决策流程与责任划分（参考COBIT等框架）；合规要求：遵循《生成式AI服务管理暂行办法》及国际法规（如GDPR强化版）；局限应对：针对模型幻觉、数据依赖等问

2025-11-25 11:44:46 1554

原创人工智能训练师学习体系解析

AI数据训练师作为AI落地的关键角色，主要负责数据采集、清洗、标注、优化等工作。岗位分为初级、中级、高级三个级别，能力要求依次提升。在不同技术领域（NLP、CV、自动驾驶等）有具体应用场景，通过数据优化直接影响模型效果。工作涉及数据处理全流程，包括采集、标注规则设计、数据隐私保护等硬技能，以及跨部门协作等软技能。数据训练师需要掌握专业工具（如LabelStudio、SQL等），遵循行业合规要求，确保数据质量和安全，最终实现模型性能提升。该岗位是连接数据与模型的桥梁，对AI产品落地具有重要价值。

2025-11-18 13:58:38 1097

原创网络安全之Web入侵场景

Web入侵检测与防御研究本文系统分析了当前Web安全面临的主要威胁和防御对策。首先概述了Web入侵的定义及行业现状，指出多漏洞组合攻击趋势使防御难度加大。重点解析了SQL注入、文件上传、反序列化和模板注入四种核心攻击方式的原理、检测特征和防御措施。针对应急处置，提出了基于时间和文件两条线索的响应流程，详细介绍了WebShell排查的日志分析方法和内存马检测技术。最后通过企业服务器被植入内存马的实际案例，展示了完整的溯源分析过程。研究不仅梳理了Web安全的关键技术点，也为企业安全防护提供了实用参考，对提升W

2025-11-17 16:16:27 1213 2

原创企业网络资产暴露面识别方法论

摘要：网络攻防中的暴露面治理需遵循**“全量测绘→风险分类→闭环治理”**方法论。首先以企业名称和根域名为起点，通过子域名枚举、IP扫描、端口探测等穿透资产边界，识别Web/非Web服务、移动端及仿冒资产。结合工具链（如Nmap、Wappalyzer）和实战技巧（字典定制、泛域名处理），输出存活资产清单并收敛风险（如弱口令、未授权访问）。该体系为企业构建主动防御提供全链路技术支撑。

2025-11-13 15:40:45 940

原创等保测评渗透测试实战指南：漏洞测试方法与报告撰写全流程

本文详细介绍了等保测评中渗透测试的核心定位与全量漏洞测试方法。渗透测试需严格遵循GB/T 22239-2019标准，重点覆盖身份鉴别、访问控制等五大维度。文章提供了7项身份鉴别测试和3项访问控制测试的实操指南，包括弱口令检测、用户名枚举、权限绕过等漏洞的测试步骤、工具推荐和实战案例。所有测试均采用通用化处理，确保方法可落地执行，帮助企业满足等保合规要求，提升系统安全性。

2025-11-13 09:57:08 1366 1

原创小程序个人信息安全检测技术：从监管视角看加密与传输合规

在监管通报中，小程序因“未采取加密、去标识化等安全技术措施”被处罚的案例屡见不鲜。很多开发者疑惑：明明用了HTTPS，为什么还会被判定“未加密”？监管机构是如何通过技术手段发现这些问题的？本文将从技术原理出发，拆解监管检测的核心方法、常见误区及合规实践方案，帮助开发者从根源上规避风险。

2025-08-21 15:07:22 1316

原创移动应用存在违法违规收集使用个人信息情况问题分析

本文围绕移动应用个人信息保护展开，指出 21 类违规场景是 “技术便利” 与 “权利边界” 失衡所致。强调合规需将 “最小必要” 原则融入产品全生命周期，结合法律理解与技术手段。在监管和用户意识推动下，行业正从 “被动整改” 转向 “主动防御”，平衡创新与安全者方能行稳致远。

2025-08-05 15:43:49 1662

原创微信小程序的合规检测

微信小程序安全测评检测项全解析随着微信小程序的广泛应用，其安全问题日益凸显。本文系统梳理了小程序安全测评的八大检测项类别：1)自身安全(基本信息、权限设置、开放端口)；2)通信传输安全(SSL证书漏洞、HTTP风险)；3)数据泄露风险(敏感目录、备份文件泄露)；4)数据安全漏洞(JSONP、FastJSON等)；5)组件漏洞；6)HTTP配置风险；7)通用WEB风险(XSS、SQL注入等)；8)代码安全(混淆、加密等)。每个检测项详细分析了风险点和影响，强调开发者需将安全理念贯穿开发全流程

2025-08-05 08:16:41 1507

原创微信小程序开发全攻略：从快速上线到安全防护

本文深入解析微信小程序开发全流程，从架构选型到安全防护。架构选型：对比云开发（适合中小项目，集成AI能力）与自建服务器（适合高并发/定制化需求），提供代码示例与优化方案。前端开发：详解原生组件封装、性能优化技巧（分包加载、懒加载）及主流框架（Taro/UniApp）选型建议。后端实现：云开发方案含数据库安全规则与数据加密；自建服务器方案涵盖API网关设计、分布式会话管理等企业级实践。安全防护：破除常见安全误区，强调渗透测试必要性，提供数据加密、传输安全等全链路防护方案，符合《个人信息保护法》要求。

2025-07-30 15:46:39 1628

原创中国牵头制定 ISO 34505:2025：解读自动驾驶测试新规范及其深远影响

我国牵头制定的自动驾驶国际标准ISO34505:2025正式发布，填补了全球自动驾驶测试场景评价与测试用例生成领域的标准空白。该标准首次提出"三维度评价模型"（暴露率、关键性、复杂度），规范了测试用例生成全流程，特别融入了中国复杂的混合交通场景经验。作为首个由中国主导的自动驾驶测试国际标准，它不仅解决了L3+自动驾驶的安全验证难题，还将显著降低中国新能源汽车的出海合规成本，加速智能化技术迭代。标准实施将推动我国在L3+自动驾驶商业化竞赛中占据先机，促进汽车产业向"智能移动空间&

2025-07-09 15:41:20 3026

原创 Apache Tomcat SessionExample 漏洞分析与防范

Apache Tomcat默认配置中的SessionExample样例存在安全隐患，攻击者可利用该会话管理示例非法操控全局session。通过构造特定POST请求，攻击者可能获取敏感信息或获取管理员权限。建议删除/examples和/docs目录下的默认资源，或在配置文件中设置访问限制。部署时应遵循最小化安装原则，定期检查配置并及时更新补丁。该漏洞警示开发者需重视服务器初始安全配置，清理不必要的默认资源以减少攻击面，保障Web应用安全运行。

2025-07-09 14:48:20 653

原创利用 requestrepo 工具验证 XML外部实体注入漏洞

在数字化浪潮席卷的当下，网络安全的重要性愈发凸显。应用程序在便捷生活与工作的同时，也可能暗藏安全风险。XXE（XML外部实体）漏洞作为其中的典型代表，攻击者一旦利用它，便能窃取敏感信息、掌控服务器，对系统安全构成严重威胁。因此，精准验证和修复XXE漏洞成为保障网络安全的关键任务。requestrepo工具凭借其独特优势，为XXE漏洞验证提供了得力支持，下面将深入探讨其在漏洞验证中的具体应用。requestrepo是一款专注于网络请求分析的在线工具，网址为requestrepo.com。

2025-03-07 14:12:28 1221

原创 sqlmap：从基础用法到漏洞利用实战

sqlmap 是一款开源的渗透测试工具，能自动检测和利用 SQL 注入漏洞，支持 MySQL、Oracle、PostgreSQL 等多种数据库管理系统。其设计旨在简化 SQL 注入检测流程，助力安全人员在复杂网络环境中快速定位与评估漏洞风险。

2025-03-06 09:04:18 1530

原创大语言模型安全测试：WDTA 标准下的全面解读与实践展望

随着应用场景的不断拓展，大语言模型面临的安全挑战也日益严峻。恶意攻击者利用各种手段构造对抗样本，试图让模型输出错误信息、泄露敏感数据或违反道德伦理准则，这不仅影响了模型的正常使用，还可能带来严重的社会和经济后果。

2025-02-25 10:34:00 2170

原创批量对网站做sql注入测试的方法

在我们构建和维护网站的过程中，SQL 注入漏洞犹如潜伏的暗礁，随时可能让我们的心血之作遭遇安全危机。它曾致使无数系统数据泄露、功能受损。作为保障网站安全的关键一环，精准检测 SQL 注入漏洞十分必要。本文将深入探讨使用 sqlmap 对网站进行全方位 SQL 注入漏洞检测的实战过程，涵盖从信息收集到命令运用等多方面细节，助力大家筑牢网站安全防线，共同在代码世界守护数据与系统安全。略在使用 sqlmap 检测 SQL 注入漏洞的过程中，我们完成了从提取页面报文到执行检测语句的一系列操作。

2025-02-21 14:09:38 992

原创对DeepSeek的一些理解记录

展望未来，DeepSeek 在推动 AGI 实现和科学研究范式变革方面具有巨大潜力，但也面临着模型安全和市场竞争等挑战。相信在不断的技术创新和人才努力下，DeepSeek 能够克服困难，持续为人工智能领域的发展做出重要贡献，引领行业迈向新的高度，让人工智能更好地服务于人类社会的发展和进步。

2025-02-13 16:00:25 828

原创 GB/T 44721-2024 与 L3 自动驾驶：自动驾驶新时代的基石与指引

GB/T 44721-2024《智能网联汽车自动驾驶系统通用技术要求》的发布，对于我国自动驾驶技术的发展具有里程碑式的意义。它与 L3 自动驾驶之间存在着紧密的联系，为 L3 自动驾驶的技术规范、安全保障和商业化推进提供了坚实的支撑，尤其是在 ADS 介入、最小风险策略和驾驶员接管等关键环节上，给出了明确的标准和指导。

2025-02-05 14:40:11 5929

原创信息安全、网络安全和数据安全的区别和联系

信息安全、网络安全和数据安全是信息安全领域的三大支柱，它们之间既存在区别又相互联系。

2025-01-02 09:51:07 1126

原创新一代 Web 安全技术应用指南（2024 版）：洞察与应对

《新一代 Web 安全技术应用指南（2024 版）》报告剖析了 Web 安全现状，指出其面临多种新型攻击威胁，常见风险类型多样且防护有效性参差不齐。报告阐述了新一代 Web 安全建设思想与技术特点，涵盖资产范围扩展、攻击向量防御强化等要点及云原生架构等六大技术特点。同时介绍了安全方案分类与部署建议，分析了私有化、SaaS 化、混合部署方案特点及企业选择因素。最后展望发展趋势，评选出 10 家代表性厂商，为企业应对 Web 安全挑战提供全面指引。

2024-12-30 11:49:07 1146

原创 Cookies Not Marked as Secure漏洞修复

在分析和解决问题的过程中，我们发现每一个配置选项、每一个属性设置都可能对系统的安全性和稳定性产生深远的影响。例如，负载均衡中的会话保活和 cookie 机制看似是为了提升用户体验，但如果配置不当，就会引发严重的安全问题。这就要求我们在进行系统配置和安全维护时，必须深入了解每个组件的功能和相互关系，不能只关注功能实现而忽视安全风险。同样，WAF 防火墙中 Secure 属性的开启虽然看似是一个简单的操作，但却涉及到对整个系统功能的影响评估。

2024-12-20 11:03:19 1046

原创制造业信息化系统：构建高效生产与管理的数字化基石

在现代制造业的复杂运营环境中，一系列先进的信息化系统正发挥着不可或缺的作用，其中企业资源计划系统（ERP）、制造执行系统（MES）、产品数据管理系统（PDM）、供应链管理系统（SCM）以及客户关系管理系统（CRM）尤为关键。这些系统相互交织、协同运作，共同塑造了制造业数字化转型的核心架构，推动企业迈向高效、智能与可持续发展的新征程。

2024-12-09 16:20:31 1666

原创等保测评的一些知识

本文写了等保测评的一些知识。包括等保的发展历程，等保2.0的变化话，等保的一些基础知识。最后分析了一份20204年某应用的一份等保测评报告的结构。希望对正在做等保的朋友们有一些帮助。

2024-11-25 16:27:22 2071

原创 Kali里的所有工具简述

当谈到网络安全工具时，Kali Linux 是一个备受推崇的黑客工具箱。Kali Linux 是一个基于 Debian 的 Linux 发行版，专为数字取证和渗透测试而设计。在Kali Linux这个强大的黑客工具箱中，汇集了来自各个领域的丰富工具，涵盖了网络侦察、漏洞利用、密码破解、无线网络安全等多个方面。这些工具可以帮助安全专家、渗透测试人员以及黑客们执行各种任务，从信息收集到系统入侵，无所不能。其中，信息收集工具包括了Nmap、Recon-ng、theHarvester、Maltego等，用于快速获取

2024-11-21 16:24:40 3588 1

原创深度解析 ICP 备案、公安备案、等保备案编号与统一社会信用代码

本文深度解析了 ICP 备案、公安备案、等保备号及统一社会信用代码。ICP 备案保障网站合法，公安备案守护网络安全，等保备案提升系统防护，统一代码明确组织身份。它们相互协同，构建管理体系，信息关联且合规要求递进。展望未来，技术、法规与信用体系将不断发展，企业应重视合规，共筑良好环境。

2024-11-12 09:05:57 6010

原创解析 “Cookies Not Marked as HttpOnly” 漏洞

在对某网站进行安全扫描时，发现了 “Cookies Not Marked as HttpOnly” 漏洞。这个漏洞意味着网站设置的某些 Cookies 没有启用 HttpOnly 属性。HttpOnly 是一个特殊的 Cookies 属性。当一个 Cookie 被设置为 HttpOnly 时，浏览器会限制客户端脚本（如 JavaScript）对该 Cookie 的访问。这一属性对于保护用户的敏感信息至关重要，特别是在涉及用户会话管理的 Cookies 中。

2024-11-07 16:20:01 1368

原创 SSL/TLS 密码套件漏洞分析以及修复方法

本文深入分析 SSL/TLS 密码套件中常见的漏洞种类和修复方法。通过对 SSL/TLS 密码套件漏洞的分析以及应用系统架构的阐述，我们明确了修复的方向和方法。根据架构的实际情况，修复的方法可以是修改 WAF、NGINX 配置、服务器端的 tomcat 设置以及针对 Windows 服务器的特定配置修复。修复后要及时验证是否已经修复成功。

2024-10-28 09:23:20 10441

原创网络安全有关法律法规

现在是2024年10月，我列举了最近几年中国出台的网络安全有关的法律法规，收集了一些解读。并附上了法律发挥的原文链接。

2024-10-16 13:49:26 3847

原创深入了解通用漏洞评分系统（CVSS）

2015 年，CVSS 3.0 版本发布。它新增了用户交互（UI）和必要权限（PR）两个指标，为攻击复杂度（AC）指标引入了新的取值，还新增了 Scope (S) 指标来处理漏洞影响其他系统的情形。这一版本在漏洞评估的准确性和全面性上有了很大的提升。2019 年，CVSS 3.1 版本推出。它没有引入新的指标，主要是对标准给出了更清晰的解释，增加了易用性，使得安全专业人员更容易理解和应用 CVSS 标准。2023 年 10 月，CVSS 4.0 版本正式发布。它重新定义了评分术语体系，强调 CVSS

2024-09-23 16:16:48 6075

Coverity 8.7.1 命令与 Ant 任务说明.rar

空空如也