这是一个基于先知社区知识构建的向量知识库

最新推荐文章于 2024-05-21 18:45:00 发布
置顶 最新推荐文章于 2024-05-21 18:45:00 发布
阅读量234 收藏 4
点赞数 10
分类专栏: 日常搭环境的问题 文章标签: web安全 python 网络安全 语言模型
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45766062/article/details/138485636
版权

本项目的开发初衷是为了方便检索先知社区的文章,在ctf比赛中能够基于 llm快速筛选到有用的文章并生成一个结果

  • 项目地址:https://github.com/kento996/xianzhi_assistant

实现原理

本项目基于先知社区的知识内容构建了一个向量知识库,通过llm能够实现基于先知内容的回答,具体内容参见如下流程图:
在这里插入图片描述

文章目录

知识库的文章构建范围为:7023~12923,共计2898篇

使用方式

xianzhi_assistant有两种使用方式,用户可以按照知识库构建范围 在本地接入先知社区的文章,也可以使用url模式。
在env中填写gemini api:

GOOGLE_API_KEY = AIzaSyA9cKkm4U65BPksk-pVgHmclxxxxxxxxxxx

本地模式

在DocumentStore中补充相应范围的先知社区文章,详细的先知文章参考范围参见xianzhi_index.json。 在DocumentStore文件夹下,新建xianzhi文件夹并将各位爬取的文章放入即可。
然后按照如下方式调用即可:

python main.py --type "local" --question "k8s存在哪些漏洞" --num 3

URL模式

python main.py --type "url" --question "k8s存在哪些漏洞" --num 3

更新知识库

用户可以通过--update参数指定自己本地的wp地址用于更新知识库中的文章

python main.py --update "xxxxxxx"

示例

  • 问题:k8s存在哪些漏洞
['https://xz.aliyun.com/t/12437', 'https://xz.aliyun.com/t/12055', 'https://xz.aliyun.com/t/11138', 'https://xz.aliyun.com/t/8000', 'https://xz.aliyun.com/t/11890']
## 分析安全问题

Kubernetes(k8s)是一个开源容器编排系统,它存在以下漏洞:

* **容器逃逸:**攻击者可以从容器中逃逸到主机操作系统,从而获得对底层系统的访问权限。
* **特权提升:**攻击者可以提升容器内的权限,从而获得对集群的控制权。
* **网络攻击:**攻击者可以利用网络配置错误或漏洞来访问或破坏集群中的容器。
* **数据泄露:**攻击者可以访问或窃取存储在容器中的敏感数据。
* **拒绝服务(DoS):**攻击者可以发起DoS攻击,使集群中的容器或服务不可用。

## 对参考答案的分析

参考答案1、2、3、4、5都列出了k8s存在的漏洞,但内容有所不同。

* **参考答案1**提供了最全面的漏洞列表,涵盖了容器逃逸、特权提升、网络安全、数据泄露、拒绝服务、供应链攻击、配置错误、API安全、镜像漏洞和编排漏洞。
* **参考答案2**提供了具体CVE编号的漏洞,但数量较少。
* **参考答案3**提供了与参考答案1类似的漏洞列表,但缺少了供应链攻击和编排漏洞。
* **参考答案4**没有提供任何漏洞信息。
* **参考答案5**提供了与参考答案1类似的漏洞列表,但缺少了供应链攻击和编排漏洞,并增加了Kubernetes API服务器漏洞和网络策略绕过。

## 根据有用的参考答案回答问题

根据参考答案1、3和5,k8s存在的漏洞包括:

* 容器逃逸
* 特权提升
* 网络攻击
* 数据泄露
* 拒绝服务
* 配置错误
* Kubernetes API服务器漏洞(参考答案5)
* 网络策略绕过(参考答案5)

注意

本项目仅做研究使用,切勿用于任何违法行为

KKKKKento
关注
  • 10
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
mle_udacity:Capstone项目的知识库,用于机器学习工程师Nanodegree
02-11
为了提供投资股票的下一个最佳操作,在此项目中,我们比较了3种不同模型和技术的性能。 这些模型是用作基准的ARIMA,Prophet和LSTM NN。 仪表板中使用了最佳模型,以根据用户应输入的某些参数进行预测。 概要 该...
论文研究-一种预测纸币序列号先知的字符分割方法.pdf
07-22
为了提高分割结果的准确性,提出了一种预测先验知识的字符分割方法。对于某种面值的纸币,根据其特有的号码排列方式定义马尔可夫链的状态,通过求得马尔可夫链的前向识别,可以预测纸币序列号的先验知识,再配合连通...
c++ 向量化_Quant工具箱:量化研究之特征工程自动化
weixin_39794347的博客
11-02 421
上一篇文章,我们正式切入到对量化研究的探讨,并在机器学习的理念框架下展开。主题开得不小,但实现起来还是必须一步一步来。那么这一篇,我们就从数据和特征说起,围绕“标准化&自动化”展开我们的主题——自动特征工程(AFE, Auto Feature Engineering)特征的重要性在量化研究中,我们喜欢称呼特征为“因子”,称特征工程为因子挖掘。广义上来说,因子就是特定时间内与股票收益率存在相...
在互联网上,没有人知道你是一条狗?
热门推荐
信息安全-企业安全-数据安全
08-22 3万+
1993 年,《纽约客》(The New Yorker)杂志刊登一则由彼得·施泰纳(Peter Steiner)创作的漫画:标题是【On the Internet, nobody knows you’re a dog.】 这则漫画中有两只狗:一只黑狗站在电脑椅上,爪子扶着键盘。它望向站在地上、表情迷茫的另一只狗,兴奋地说:「在互联网上,没人知道你是一条狗。 (On the Internet, nobody knows you’re a dog.)画中那只狗的台词随即成了 IT 界广为流传的经典笑话。 那个
ISASearch:基于分布式爬虫的信安技术文章搜索引擎
Lethe's Blog
07-02 880
摘 要 随着大数据时代的到来,信息的获取与检索尤为重要,如何在海量的数据中快速准确获取到我们需要的内容显得十分重要。因此本项目为了更好的整合利用安全领域特有的社区资源优势,首先使用Scrapy爬虫框架结合NoSQL数据库Redis编写分布式爬虫,并对先知、安全客、嘶吼三个知名安全社区进行技术文章的爬取;然后选取ElasticSearch搭建搜索服务,同时提供了RESTful web接口;最后通过Django搭建可视化站点,供用户透明的对文章进行搜索。 关键词: 分布式爬虫; Scrapy; 搜索引擎; Re
机器学习库
makerNo的博客
06-13 2163
机器学习 一個很棒的機器學習框架、庫和軟件的精選列表(按語言)。靈感來自於 awesome-php。 计算机视觉 Scikit-Image - Python 中图像处理算法的集合。 Scikit-Opt - Python 中的群智能(Python 中的遗传算法、粒子群优化、模拟退火、蚁群算法、免疫算法、人工鱼群算法) SimpleCV - 一个开源计算机视觉框架,可以访问多个高性能计算机视觉库,例如 OpenCV。用 Python 编写,可在 Mac、Windows 和 Ubuntu Linux 上运行。
(三)大话深度学习编译器中的自动调优·Empirical Search
世事难料,保持低调
08-14 2920
前面的第一篇与第二篇分别介绍了背景与一些相关概念,这第三篇我们开始切入正题,看下现代深度学习编译器中的自动调优(Auto-tuning)方法。Schedule的自动生成,一类方法是基于解析模型(Analytical model),然后使用一些经验公式来产生解;另一类方法是多面体编译技术。它将循环嵌套迭代空间建模为多面体,然后用如整数规划等数学方法求出能提升局部性与并行性的循环变换;还有一类就是经验搜索(Empirical search)方法。.........
论文浅尝 | 中科院百度微软等学者最新综述论文40+最新方法阐述知识图谱提升推荐系统准确性与可解释性...
开放知识图谱
03-27 1141
本文转载自公众号:先知。【导读】近来,知识图谱用于推荐系统是关注的焦点,能够提升推荐系统的准确性与可解释性。如何将知识图谱融入到推荐系统呢? 最近中科...
【剑指offer】高频ML/DL面试题
发现问题,并解决问题,批判性思维
05-25 8258
代码层面: 完成强化学习算法(CPG PPO A3C Q-learning DQN)在贪吃蛇环境的应用(即作出控制贪吃蛇的智能体) 在github上找到对应算法的代码并跑通代码 阅读理解代码的实现逻辑,对代码中用到的重要函数查阅和理解 对算法的调试和优化,使贪吃蛇智能体取得更好的分数 理论层面 阅读并理解五大算法的论文(需配合贪吃蛇代码的完成顺序) 对分布式相关知识的学习:按顺序完成学习A3C DPPO IMPALA seed-rl的论文及其相关文章 成果验收 (1)考察智能体在贪吃蛇的得分 三个算.
Devcon2 (第二届全球区块链开发者峰会)演讲PPT下载
李赫的专栏
09-30 6746
转自http://ethfans.org/topics 第一天议程 1.开幕致辞:欢迎&介绍 演讲嘉宾:Ming Chan, Vitalik Burtin, Dr. Christian Reitwiessner, Alex Van de Sande, Jeff Wilcke, Peter Szilagyi, Martin Becze 以太坊执行董事Ming Chan女士协同基金会首
[论文解读]关于机器学习测试,看这一篇论文就够了 Machine Learning Testing: Survey ,Landscapes and Horizons
年糕的博客
03-22 7245
Machine Learning Testing: Survey ,Landscapes and Horizons 文章目录Machine Learning Testing: Survey ,Landscapes and Horizons介绍摘要简介机器学习概论机器学习测试定义ML测试工作流测试在ML开发中的作用离线测试在线测试ML测试组件ML测试属性正确性模型相关性鲁棒性安全性数据隐私效率公...
一个基于分布式爬虫的信安文章搜索引擎
02-22
首先使用Scrapy爬虫框架结合NoSQL数据库Redis编写分布式爬虫,并对先知、安全客、嘶吼三个知名安全社区进行技术文章的爬取;然后选取ElasticSearch搭建搜索服务,同时提供了RESTfulweb接口;最后通过Django搭建可视...
文件上传绕过思路总结 - 先知社区1
08-03
1.Accept-Encoding 改变编码类型 2.修改请求方式绕过 3.host头部绕过
PHPOK 5.3 最新版前台注入 - 先知社区1
08-03
注入点:// 176行// sqlext变量转义取消// 拼接sqlext的值的函数只有_userlist、_arc_condition_single、_arc
Upstream最新发布2024年汽车网络安全报告-百度网盘下载
qq_18209847的博客
05-20 235
Levy总结道:“在负责保护车队、电动汽车充电站和基础设施的网络安全利益相关者中,对汽车网络安全的重要性日益增加。特别是在GenAI日益普及的情况下,其降低了黑帽子行为者的进入门槛,使他们能够比以往更快、更有效地进行大规模攻击。这份报告的第六版着重介绍了汽车网络安全的拐点:从实验性的黑客攻击发展到规模庞大的攻击,并产生了怎样的影响。另外今年的报告还提供了关于网络攻击的财务影响的独到见解,它提供了一个可操作的框架,用于在现实场景中衡量网络攻击的货币影响。
【网络安全】网络安全协议的重要性
最新发布
heikewhite的博客
05-21 883
网络安全(Cyber Security)是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全之重发布与路由策略详解
m0_65858385的博客
05-20 668
如果if-match没有写就默认匹配所有,如果没有写apply就相当于不做任何动作,当if-match没有写,apply也没有写的时候就代表着router-policy后跟的动作是permit就是所有都通过,若是deny就是拒绝所有(拒绝所有的话,可以不写这个router-policy,因为只要做了router-policy,其末尾就隐含了拒绝所有。都是acl这种同一类的条件就是横向,竖向就是条件都不一样,又是acl又是cost的,如果多了不同类的条件就变为竖向。特点:1、仅仅抓取路由信息。
CTF网络安全大赛简单web题目:eval
Pythonit教程网
05-17 762
(错误控制运算符)等可能引发安全问题的函数。这个PHP脚本有几个关键部分,但首先,它是不安全的,因为使用了。红客网:blog.hongkewang.cn。只需要在web的url后面加上参数“题目来源于:bugku。一道简单web的题目。
如何创建一个线程与进程
05-19
在Python中,可以使用`threading`模块来创建线程,也可以使用`multiprocessing`模块来创建进程。 以下是创建线程的示例代码: ```python import threading def worker(): """线程要完成的工作""" print('这是一个工作线程') # 创建线程 thread = threading.Thread(target=worker) # 启动线程 thread.start() ``` 以下是创建进程的示例代码: ```python import multiprocessing def worker(): """进程要完成的工作""" print('这是一个工作进程') # 创建进程 process = multiprocessing.Process(target=worker) # 启动进程 process.start() ``` 需要注意的是,在使用多线程或者多进程时,需要注意线程和进程之间的数据共享和同步问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值