jimmyleeee-CSDN博客

原创 VMware安装MAC OS 10.15.4

首先，需要https://mirrors.dtops.cc/iso/下载一个需要的版本，我下载的是最新的10.15.4。其次，需要下载unlockder使VMWare可以支持MAC OS的虚拟机，如果要安装比较新的MACOS版本，需要下载VMware15.5或者更新的版本，如果是从低版本升级的Vmware，升级之后需要再运行一次unlockder，创建虚拟机时，才可以选择新的版本：开...

2020-04-03 14:46:23 23670 25

原创人工智能基础知识笔记八：数据预处理

在进行数据分析之前，数据预处理是一个至关重要的步骤。它包括了数据清洗、转换和特征工程等过程，以确保数据的质量并提高模型的性能。数据预处理是机器学习和数据分析中至关重要的步骤，其中分类变量的编码是核心任务之一。本文详细讲解四种常用编码方法（One-Hot Encoding、Label Encoding、Frequency Encoding、Target Encoding）。

2025-05-09 17:37:26 403

原创应用安全系列之四十七：NoSQL注入

本文主要是介绍NoSQL注入的原理、危害和如何预防。

2025-04-29 14:53:56 917

原创人工智能基础知识笔记八：损失函数

在机器学习的领域里，损失函数（Loss Function）如同一位严苛的导师，既为模型指引优化方向，又严格衡量其预测能力。本文将从定义、常见类型、优缺点到适用场景，为您全面解析这一核心概念。

2025-04-24 11:59:36 778

原创应用安全系列之四十五：日志伪造（Log_Forging）之三

针对Java的日志系统有多种，本文主要描述如何通过修改配置文件来解决logback和log4j的日志伪造问题。

2025-04-11 17:10:37 442

原创应用安全系列之四十六：Expression Language Injection （EL注入）

Spring Boot默认支持Thymeleaf作为视图层技术，虽然Thymeleaf默认是安全的，但如果启用了不安全的特性或错误地配置了模板引擎，仍有可能导致类似的注入问题。如果用户输入的内容直接被嵌入到错误消息模板中，并且没有经过适当的清理或转义，攻击者可以通过构造恶意输入来执行任意 EL 表达式。，这些类用于解析和评估Spring表达式语言（SpEL），如果开发者不谨慎处理用户输入，就可能存在注入风险。方法默认支持 EL 表达式解析，如果用户输入被直接嵌入到模板中，可能导致 EL 注入攻击。

2025-04-10 18:22:28 940

原创应用安全系列之四十五：日志伪造（Log_Forging）之二

日志伪造(Log Forging)是一种常见的安全威胁，攻击者通过注入恶意内容破坏日志完整性。不同编程语言的防御方式有所不同，本文主要介绍Java、C#、Node.js、Rails(Ruby)和Go语言中的防护方法。。使用转义使用Lograge (结构化日志)使用log/slog结构化日志（Go 1.21+）zap（Uber日志库）手动替换换行符参数化/结构化日志使用{}占位符或键值对日志，避免直接拼接字符串过滤换行符替换\r、\n为空格或下划线限制日志长度截断超长日志，防止DoS攻击。

2025-04-03 19:06:21 558

原创应用安全系列之四十五：日志伪造（Log_Forging）之一

在记录日志之前，对需要记录的字符串进行格式或者取值范围进行验证，如果验证之后的字符串保证不会含有回车和换行字符，也可以避免日志伪造的攻击。日志伪造（Log Forging），也叫日志注入（Log Injection），是指攻击者通过向应用程序输入恶意数据，使这些数据被记录到日志中，从而破坏日志的完整性、可读性，甚至执行恶意操作。

2025-04-03 18:57:39 495

原创人工智能基础知识笔记七：随机变量的几种分布

随机变量的分布研究的是随机变量在某些离散点或某个区间取值时的概率，即概率分布或分布律，主要包括正态分布、二项分布、泊松分布、均匀分布、卡方分布、Beta 分布等。

2025-04-02 15:43:55 945

原创人工智能基础知识笔记六：方差分析

本文主要是介绍什么是方差以及方差分析的作用。

2025-04-01 17:40:28 923

原创 Mac: 运行python读取CSV出现 permissionError

如何处理python程序的permissionError:[Errno 1] Operation not permitted？

2025-03-28 14:56:24 554

原创人工智能基础知识笔记五：相关分析

在数学上，研究两个或两个以上处于同等地位的事物之间相关程度的强弱，并用适当的统计指标表示出来的过程，称为相关分析。根据相关分析，可以从不同角度对事物的相关性进行分类。本文主要是介绍各种相关分析的系数和计算公式。

2025-03-27 19:41:36 965

原创人工智能基础知识笔记四：聚类分析

在原型聚类中，属于某一簇的数据与定义这一簇的原型的点具有更近的距离或更大的相似性，而与属于其他簇的原型点具有较远的距离或较小的相似性。数据点分布密集的区域，拥有较高的密度;在聚类树中，不同类别的原始数据点是树的最低层，树的中间结点是聚合的一些簇，树的根结点对应多数据点的聚类。对于原型聚类算法的实现，通常要先对原型进行初始化，确定每个簇的中心点，然后计算属于每个簇的数据点划分，最后根据新计算的簇，计算更新后的中心点。从聚类的特点上看部分的层次聚类方法有图聚类的特性，另一部分的层次聚类法有原型聚类的特性。

2025-03-13 18:16:15 887

原创人工智能基础知识笔记三：假设检验

P值（P-value）是假设检验中用于判断原假设是否成立的一个概率值。它表示在原假设成立的前提下，观察到当前数据或更极端数据的概率。如果P值小于预先设定的显著性水平α（通常为0.05），则拒绝零假设。

2025-02-26 08:40:14 805

原创人工智能基础知识笔记二：激活函数

不论神经网络的层数有多少，任何线性函数的线性组合仍然是线性的，在一张纸上证明它是正确的并不难。使用非线性激活函数,可以将线性作用变成非线性作用，在输入输出之间生成非线性映射，使神经网络更加复杂，可以表示输人输出之间非线性的复杂的任意函数映射，可以描述复杂的表单数据，甚至可以具有学习复杂事物的能力。激活函数(Activation Function)又称激励函数，是在人工神经网络(Artifcial Neurawmwok)中每一个神经元上运行的函数，根据神经元的输人，通过激活函数的作用，产生神经元的输出。

2025-02-24 19:08:51 991

原创人工智能基础知识笔记一：核函数

虽然理论上所有满足Mercer条件的函数都可以作为核函数，但在实际应用中，选择核函数时还需要考虑其他因素，如计算效率、过拟合的风险以及特定问题的数据特性。二是采用交叉验证(Cross-Validation)方法，在选取核函数时，分别试用不同的核函数，通过仿真实验，在相同数据条件下对比分析，归纳误差最小的核函数就是最好的核函数。线性核函数可以直接使用，主要用于线性可分的情形。,函数 K(x,y)=f(x)·f(y)，则称K(x,y)为核函数f(x)f(y)为向量x,y映射到特征空间上的向量之间的内积。

2025-02-24 14:00:24 759

原创 OMP: Error #15: Initializing libiomp5md.dll, but found libiomp5md.dll already initialized. 错误的解决

根据网上的建议的方法如：更新 pip到最新的版本“pip install --upgrade pip setuptools” 和重新安装porch “pip install torch torchvision torchaudio”。可以通过设置环境变量 KMP_DUPLICATE_LIB_OK = TRUE 来解决这个问题。有的还建议使用源码构建的方法，但是，大家构建的环境又是一堆依赖，而且还不一定能够彻底搞定。经过调查得知：这个错误通常发生在使用 OpenMP 的多线程库时，程序尝试初始化。

2025-01-10 17:28:08 526

原创 CVSS4与CVSS3的不同之三

在CVSS 4里，如果针对一个漏洞进行评估，就必须要带上使用打分的命名，例如：一个漏洞在CVSS-B基础上评估的分数，需要加上CVSS-B，否则，就不知道具体使用的是哪些指标进行评估的。由此，可以推断出，针对Basic Metrics的打分，由于没有区分当前系统和受影响的相关系统，就默认对受影响的相关系统有较高的影响（个人猜测），导致分数偏高。在本片文章主要是集中在两者在应用上会有何不同以及在使用CVSS4的时候，有什么注意事项，最后，也通过一个例子尝试计算两个版本之间计算的CVSS分数的差异。

2024-11-19 15:41:23 825

原创 CVSS4与CVSS3的不同之二

中描述了CVSS3的缺点，以及CVSS4相对CVSS3做了哪些改进和带来了哪些优点。但是具体CVSS4针对CVSS3做了哪些改动，还没有详细列举出来。本文主要是针对CVSS4和CVSS的打分的大项和小项进行逐一对比，列出来具体增加和删除了哪些项目。白色：没有更改的项目。

2024-11-16 21:17:18 1074

原创 CVSS4与CVSS3的不同之一

CVSS提供了一种标准化的方法，帮助组织和安全专业人员了解漏洞的风险级别，从而做出更有效的安全决策。通过引入新的指标、调整评分计算方式、解决现有问题和提高易用性，CVSS 4.0为组织和安全专业人员提供了更好的工具来评估和管理软件安全漏洞的风险。更精细的评分粒度：通过引入新的指标和调整现有指标，提高了评分的粒度和精确度。由于综上所述的原因，导致了CVSS3.1有评估的分数不能充分反映漏洞的可能的真实的影响结果，导致评估出来的分数不能充分和实际的结果相对应，进而影响了对漏洞的处理措施。

2024-11-15 15:51:29 1052

原创一些机器学习不错的书籍

最近，在学习一些机器学习的相关知识，在Github上居然找到了一个可以下载一些不错的介绍机器学习和大数据挖掘和分析的书籍。

2024-09-11 10:52:02 502

原创 Java项目由JDK8升级到JDK17

把JDK8的项目升级到JDK17的过程和注意事项。

2024-08-20 16:48:39 781 1

原创如何判断一个Repo是否是Private还是Internal？

在决定对Gihub的graphql进行扫描时，需要检测是否有Repo在扫描的范围之外，检测出可能遗漏的Repository，同时又需要排除一些私有的Repo。在这里可以看到Repo的三个可见性的属性：INTERNAL，PRIVATE和PUBLIC。Github的Repository分为三种类型，主要是用于决定谁可以访问、查看和克隆该仓库。在这里可以了解到，一个repo是否是private不能通过privacy来判断，但是可以通过visibility来获取。于是，再进一步查询手册，发现有一个可以获取整个。

2024-06-28 12:34:34 524 1

原创 pandas dataframe 的几种过滤数据的方法

Pandas是一个用于数据科学的开源Python库。这个库在整个数据科学行业被广泛使用。它是一个快速和非常强大的python工具来执行数据分析。Pandas为我们提供了读取、过滤、检查、操作、分析和绘制数据的命令。它使用内置函数加载以各种文件格式存储的数据，如csv, json, text等，作为pandas数据框架结构。本文主要是介绍几种过滤数据的方法。

2024-05-15 15:18:29 2095 2

原创关于Checkmarx、CodeQL和Semgrep的测试结果比较

对于SAST工具而言，对框架的支持非常重要，它可以有效地发现基于某些框架的漏洞，而且现在系统的开发为了提高开发效率，基本上没有从0开始的，都是基于框架的，因此，对于框架的支持程度对于扫描结果的影响很大。Semgrep是在本地扫描，然后将扫描的结果发送到Semgrep的云上，通过Web Portal再显示扫描结果，虽然在数据流里显示了具体的文件与行号，但是，由于不能和源代码联动，在做甄别问题时，就显得比较费劲，如果上传代码到云上，又有泄露的安全风险。本文列列举了工具的各个方面的比较，比较的方面和结果如下。

2024-05-07 14:06:52 1552 2

原创已经连接过的网络的密码忘记了，怎么快速找回？

使用笔记本电脑曾经连接过一些无线路由器，时间久了，密码可能就忘记了。再使用其他设备连接时，就需要尝试去找到这个密码。本片文章就是通过几个命令快速找到之前使用笔记本电脑曾经连接过的无线网络的密码。

2024-03-13 17:31:32 910

原创静态应用程序安全测试（SAST）的autofix的挑战

本篇文章主要是针对如果真正autofix需要解决哪些有挑战的问题进行探讨。

2024-03-01 17:10:59 1113

原创关于静态应用程序安全测试（SAST）的自动修复（AutoFix）

目前市场上有些产品提出创新的功能就是自动修复，核心功能就是发现有问题的代码，然后自动修复，或者半自动修复。这个功能听起来很美好，工具扫描发现了问题，然后不需要开发人员的干预，自动修复检测到的问题。有的工具甚至还号称“100%的扫描准确度，自动化代码修复”。本文章就是尝试通过对几种号称可以自动修复的工具的调查，看看他们实际的自动修复是什么？是否可以达到预期的宣传的那样。

2024-02-28 21:25:25 1178

原创用pandas实现用前一行的excel的值填充后一行

接下来就需要一个简单的方法，把后面的空的cell的内容填上，这样通过公式计算UniqueKey时，就可以很容易。虽然Excel也提供了可以使用其他的Cell的值填充空白Cell的值，但是操作步骤有点作，而且对于操作有几千上万行的excel文件来说，太不方便，万一出错，就需要重来一遍。如果UniqueKey有重复的，就可以通过Excel的去重复数据的功能，直接将重复的行去掉。正好学习了pandas库，发现用它的dataframe可以很轻松地实现。几行代码就可以轻松搞定几万行的文件的数据处理！

2024-01-18 16:15:54 976

原创 xlrd.biffh.XLRDError: Can‘t find workbook in 0LE2 compound document

本文主要是探讨如何解决xlrd.biffh.XLRDError: Can't find workbook in 0LE2 compound document 错误。

2024-01-03 15:06:13 1713

原创应用安全四十四：Side Channel

这种攻击的有效性远高于密码分析的数学方法，因此给密码设备带来了严重的威胁。这种攻击不是基于协议或算法设计本身的缺陷（例如，密码算法的密码分析中发现的缺陷），也不是实现中的小错误或疏忽，而是基于计算机协议或算法实现方式的本质方式。这种攻击不是基于协议或算法设计本身的缺陷（例如，密码算法的密码分析中发现的缺陷），也不是实现中的小错误或疏忽，而是基于计算机协议或算法实现方式的本质方式。Side Channel攻击的条件是能够建立泄漏的物理信号与处理的数据之间的联系，以及处理的数据与芯片中的数据之间的联系。

2023-12-31 10:39:19 1880

原创 error: urllib3 2.1.8 is installed but urllib3＜1.27,＞=1.25.4；

本文主要是介绍如何解决python安装过程中遇到的urllib3 的版本不匹配的问题。

2023-12-14 17:14:28 755

原创 URIBuilder与SSRF

在使用一个静态扫描工具时，报了一个SSRF的问题，经过数据流的分析，导致此工具报SSRF的原因是在调用URIBuilder的setPath函数时，参数是从请求里获取的，导致了数据流被污染，因此认为由URIBuilder构造的URL也被污染，最终导致URIBuilder构造出来的URI被污染，所以，认为可能会导致SSRF问题。通过以上实现可以看出，针对URL中的Path的处理是不安全的，但是对Parameter的处理是安全的。可以看出这里的路径如预料的一样没有被处理。

2023-12-11 19:35:14 433

原创几个查找开源组件CVE的网站和工具

结果中不仅给了严重的级别，还提供了CVSS，最为重要的是它提供了EPSS，EPSS（漏洞利用预测评分系统）是一种利用CVE信息和真实世界的攻击数据来预测漏洞是否以及何时会被利用的系统。它是一款由OWASP提供的一款免费的查找整个项目含有哪些组件和CVE的工具，根据可能性提供了可能的CVE列表，显示的结果可以是HTML和JSON。不过，针对输出结果需要进一步解析才能得到最直观的信息。不过这个网站用起来不太方便，如果有具体的CVE查找还比较方便，如果查找其他的信息，例如：组件名称和版本以及时间，就不太方便了。

2023-12-06 15:00:16 4030 1

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

CEH_Official_Certified_Ethical_Hacker_Re.pdf

unlocker-3.0.3.zip

谷歌拼音输入法

web hacking - attacks and defense

OCCI 接口封装包

嵌入式Linux性能详解

C 预处理器介绍以及如何实现的

gdb 培训材料 ppt

gdb 培训资料-全面掌握GDB的使用方法

空空如也