ybdesire-CSDN博客

原创 Claude Mythos Preview发布文章解读

从Claude Mythos Preview 发布文章，找到一些漏洞挖掘的提示词、方法等技术细节，至少是个思路。

2026-04-08 22:46:30 348

原创通过训练代码来理解DLLM扩散语言模型

根据源码深入理解DLLM与LLM的差异

2026-03-28 23:30:00 478

原创 ReDoS（正则表达式拒绝服务攻击）理解与实测

本文介绍了ReDoS（正则表达式拒绝服务攻击）的原理与复现方法。ReDoS通过利用正则表达式的灾难性回溯机制，当输入接近匹配但不完全匹配时，会导致CPU资源被指数级增长的回溯次数耗尽。核心触发条件是：正则包含嵌套重复量词（如(a+)+）、输入接近匹配且使用模糊匹配范围。通过Python代码复现显示，输入长度仅增加2倍时，耗时可能增加上万倍。该攻击揭示了正则表达式设计不当可能引发的严重性能问题。

2026-03-20 22:32:00 375

本文详细复现了CVE-2026-25857漏洞的分析过程。首先通过ubireader和binwalk工具对固件进行解包，定位到存在漏洞的httpd二进制文件。逆向分析发现，漏洞源于WAN诊断功能中的cmd_get_http_code函数，该函数未对用户输入的URL参数进行过滤就直接拼接到curl命令中，并通过popen()函数执行。攻击者可利用特殊字符注入恶意命令，实现任意代码执行。漏洞成因主要是开发人员缺乏安全意识，未对用户输入进行安全处理，直接使用危险函数执行系统命令。该高危漏洞暴露了IoT设备常见的安

2026-02-24 15:34:57 594

原创 UBI固件解包实例

本文梳理了UBI固件与普通二进制固件的本质区别，明确了ubi_reader与binwalk工具的协同使用方法，解决了嵌入式固件分析中常见的UBI镜像解包难题。

2026-02-11 23:30:00 671

原创 AI驱动的威胁狩猎落地案例

一个非常值得借鉴且能落地的威胁狩猎案例，以AI为主的GhostPenguin狩猎过程解读

2026-01-25 23:15:00 1514

原创 Joern服务器启动后cpgqls-client结合python编程进行扫描

使用cpgqls-client也可以做到通过python编程，连接joern server后进行扫描,这种方式也能实现自动化

2026-01-14 23:15:00 499

原创在CentOS 7安装配置CodeQL与运行QL扫描

CodeQL的环境配置和CodeQL-CLI的扫描

2025-12-21 23:30:00 289

原创 DGND3700 1.1.00.15_1.00.15NA固件解包逆向漏洞定位

参考已有的分析文章来复现整个分析过程

2025-12-03 22:56:48 404

原创用Joern命令根据scala文件中的规则扫描CPG文件

如何使用Joern命令根据scala文件中的规则扫描CPG文件

2025-11-18 23:15:00 603

原创 fuzz相关基础概念：libfuzzer,afl,honggfuzz,sanitizer,seed,harness

fuzz原理中的基础概念区分

2025-11-03 22:40:58 472

原创 7种python常见漏洞与大模型检测思路

vulnhuntr通过提示词和静态代码阅读来检测漏洞的细节思路

2025-10-18 23:30:00 634

原创大模型问答之时间语义解析方案调研

NLP中的时间语义解析方案调研与实测

2025-10-03 23:30:00 1352

原创 Qwen3技术之模型后训练

4阶段训练与蒸馏

2025-09-20 23:15:00 844

原创解读“2025年OWASP大模型十大安全风险”与相关攻击案例

本文总结2025年最新的OWASP 的《大规模语言模型应用 Top 10》

2025-09-02 23:30:00 1834

原创大模型四种常见安全问题与攻击案例

本文对promptfoo给出的四种安全问题做了详细解读，并给出对应案例。

2025-08-23 23:30:00 1738

原创 Qwen3技术之模型预训练

本文总结了Qwen3的预训练过程中的，数据获取，数据配比，三大预训练步骤（通用、推理、长上下文），超参数调节，测评等预训练过程中的关键步骤。

2025-08-05 23:15:00 1001

原创用Joern执行CPGQL找到C语言中不安全函数调用的流程

本文给出了从安装Joern到用Joern执行CPGQL找到C语言中不安全函数调用的流程的完整示例。

2025-07-14 23:30:00 1350

原创 Qwen3技术综述

本文对Qwen3技术报告中提到的数据处理技术与模型结构进行综述

2025-07-08 22:45:00 692

原创 MCPServer编程与CLINE配置调用MCP

python写一个最简单的MCP Server，并通过配置CLINE来调用MCP

2025-06-21 23:30:00 1552 1

原创从CoIR基准测试来理解代码检索

本文讲解代码检索领域主流COIR评估标注，包括COIR数据集的构建、8大测评任务、测评方法、版单与主流模型。

2025-06-16 23:30:00 1196

原创 PrimeVul论文解读-如何构建高质量漏洞标签与数据集

PrimeVul作者对现有漏洞数据集进行分析，指出了现有数据集label不准和数据重复的问题，现有根据ACC/F1来做漏洞识别模型评测的不足，并给出了作者构建的另一个高质量数据集PrimeVul，还用这个数据测评了现有的SOTA的一些模型，并得出了现有模型做漏洞识别能力都不足的结论。作者的分析方法和高质量数据集构建的思路非常值得借鉴。

2025-05-18 22:45:00 1453

原创用于测试大模型修复代码漏洞能力的数据集AutoPatchBench

AutoPatchBench里面包含了 136 个在实际代码库中（通过模糊测试发现的 C/C++ 漏洞），以及来自 ARVO 数据集的经过验证的修复方案。

2025-05-03 23:15:00 674

原创 Jinja2模板引擎SSTI漏洞

Jinja2 模板引擎在处理模板时执行了攻击者注入的恶意代码，从而引发了严重的安全问题，如敏感信息泄露、服务器被恶意控制

2025-04-19 23:15:00 1350

原创详解大模型四类漏洞

大语言模型（LLM）的漏洞，分为安全与访问控制、合规与法律、信任与安全、品牌四大类。具体包括注入攻击、知识产权侵权、有害内容、错误信息等多种风险。

2025-04-04 23:15:00 1193

原创 PurpleLlama大模型安全全套检测方案

PurpleLlama包含多个关键工具和评估基准，用于提升LLM的安全性：（1）CyberSec Eval：网络安全评估工具，用于量化LLM在网络安全方面的风险，包括生成恶意代码的可能性、不安全代码建议频率以及协助网络攻击的能力。（2）Llama Guard：输入输出保护工具，用于过滤和检查LLM的输入输出内容，防止生成危险输出或被黑客利用。（3）Prompt Guard：提示保护工具，用于检测和阻止恶意提示注入，确保基于LLM的应用程序的安全性。

2025-03-21 22:15:00 2807

原创 APT相关文章和样本下载

最新最全的APT样本及报告下载站点

2025-03-16 22:45:00 610

原创基于trl复现DeepSeek-R1的GRPO训练过程

本文讲解了借助trl对Qwen2.5-0.5B-Instruct做GRPO的强化学习训练（DeepSeek）的过程，包括数据、数据处理、reward函数定义、训练前后的模型输出差异。

2025-03-01 23:15:00 5190 4

原创用promptfoo做大模型安全性测评

本文讲解了运行promptfoo做大模型安全性测评的过程以及结果分析

2025-02-18 22:45:00 2777

原创解读“大语言模型（LLM）安全性测评基准”

本文汇总了，大语言模型在用户输入prompt的操作后，大语言模型输出相应结果，这个过程中遇到的两大类安全问题，8种“prompt安全”问题与6种“内容安全”问题。

2025-02-04 23:45:00 1314

原创从TinyZero的数据与源码来理解DeepSeek-R1-Zero的强化学习训练过程

通过具体的数据与处理训练过程，来更好的理解DeepSeek-R1-Zero的强化学习训练方法。

2025-02-02 22:26:37 4604

原创 2024年数据记录

CSDN的2024年度总结的数据，原力值超过99.99%用户

2025-01-30 21:53:24 451

原创 atheris从安装到fuzz输入输出解读

atheris对py代码进行fuzz的详细过程

2025-01-24 23:30:00 1223

原创重点解读《From Naptime to Big Sleep: Using Large Language Models To Catch Vulnerabilities In Real-World》

Google Project Zero团队与Google DeepMind团队合作，将Naptime项目升级，得到了Big Sleep项目，这也是一个Agent。

2025-01-11 23:30:00 736

原创基于变异策略的模糊测试：seed与mutation的含义

模糊测试中seed与mutation的直观理解

2024-12-23 23:30:00 454

原创模糊测试中常见的10种变异mutation策略

基于变异策略的模糊测试，有两个重点：（1）seed：种子，初始的合法输入序列。（2）mutation：对已经存在的输入序列，进行微调。那mutation有哪些策略呢？

2024-12-04 23:30:00 914

原创文章解读《Project Naptime: Evaluating Offensive Security Capabilities of Large Language Models》

Google的Project Zero团队，开发了一个叫做Naptime的项目，用于做漏洞研究

2024-11-25 23:30:00 904

原创论文重点记录《RACONTEUR: A Knowledgeable, Insightful, and Portable LLM-Powered Shell Command Explainer》

文章重点内容解读RACONTEUR: A Knowledgeable, Insightful, and Portable LLM-Powered Shell Command Explainer

2024-11-09 23:30:00 577

原创 wireshark抓包查看langchain的ChatOpenAI接口发送和接收的数据

通过wireshark抓包，目的IP地址过滤，追踪流，就能看到langchain的ChatOpenAI发送的POST请求细节内容，并能依此构造一个POST请求来模拟该接口的通信。

2024-11-02 22:45:00 838

原创 COT存在的问题以及ReAct Agent对此所做的优化

从ReAct的论文中（参考1），可以看到，单纯用COT，也会存在一些问题，靠COT也无法很好的回答问题，如下图所示

2024-10-26 23:30:00 805

OpenCV参考手册

OpenCVReferenceManual,清晰、可复制；方便搜索关键字，我写程序时查找起来很舒服的~

2011-02-21

数据结构(C#语言版)

C#语言描述的数据结构，清晰！本书分为8章，第1章介绍了数据结构和算法的基本概念及本书用到的数学和C#的知识；第2章至第6章分别讨论了线性表、栈和队列、串和数组、树型结构和图结构等常用的数据结构及其应用，以及在.NET框架中相应的数据结构；第7、8两章分别讨论了排序和查找常用的各种方法及其应用以及在.NET框架中相应的算法。

2011-02-21

简单的winsock编程客户机、服务器示例

参考《Visual C++网络高级编程》(陈坚&陈伟)人民邮电出版社。2.2节，自己写了客户端程序和服务器程序，winsock编程参考书中内容。我写的这个服务器程序能将接收到的客户机程序显示出来，程序写的非常简单，注释详细，便于学习参考。

2011-03-09

SendMessage()两个程序通信与MFC中添加新消息

如何使用SendMessage()使两个程序通信，如何为MFC手动添加系统没有的消息，看了源码你就知道了

2011-03-14

用OpenCV在MFC Dialog中Picture控件上显示摄像头采集实时视频

2013-04-24

电院面试问题汇总（关于电院面试的问题）

电院面试问题汇总（关于电院面试的问题），很好，很强大

2009-09-20

最简单的linux字符设备驱动

一个最简单的字符设备驱动程序，包括LDD第三版前三章的内容。关键是书中并未讲的太细，关于mknod以及如何自己写一个程序使用自己的驱动，我的代码中有详细的过程，也在blog中写明了驱动模块的思路以及常见问题的解决思路。主要是自己学习所用，现在共享出来大家一起学习吧！考虑到linux下对中文的支持随版本而异，所以源码并未详细注释，详细注释的代码见我博客。

2012-11-25

nForm 国际化开发一例

本例简要说明用VS2012开发WinForm程序时，如何将hardcode取出放入.resx文件，并让程序根据不同国家的OS自动选择资源并加载，以适应不同语言的环境。为了突出重点，只说明Button/Label和代码中hardcode的处理方法，简单易懂，其它原理类似。具体说明见我的blog对应资源名称的文章。

2013-07-03

DS18B20驱动程序(C语言)

2008-07-21

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人