Python_0011的博客

你是否对 AI 编程充满好奇，却不知从何入手？你是否想体验高效编程，却苦于没有合适的工具？现在，机会来了！Trae，中国首个 AI 原生 IDE，携手稀土掘金技术社区推出 「与AI结伴，编程不孤单」 活动，让你轻松体验 AI 编程的魅力，完成任务即有机会赢取丰厚奖励！🎁。

老黄展示这张图中，x 轴代表了生成的 token，y 轴代表着每秒 token 吞吐效率，理想情况下，图中黄色曲线应该是一个方形，即在工厂能力极限之内，非常快速生成 token。相比之下，新的 Blackwell 架构比 Hopper 强多了，尤其在能耗固定的情况下，性能提升了 25 倍，甚至在推理模型上直接比 Hopper 高 40 倍。老黄表示，如果说从前的 GTC 说 AI 的伍德斯托克音乐节，那今年搬进体育场的 GTC 就是 AI 的超级碗，而唯一不同的说，每个人都是超级碗的赢家。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。木马免杀问题与防御********必知必会。掌握Redis未授权访问漏洞。

本文目的是记录如何通过内网穿透访问本地服务。本文将配置两个内网穿透端口服务来说明。

在运维工作中，为了保证业务的正常运行，对系统进行安全加固，配置安全产品抵御外来的恶意攻击是运维工作非常重要的一部分。黑客经常利用弱口令和各类系统漏洞，软件漏洞对服务器远程渗透，从而造成业务中断，更为严重可能会影响整个公司的运营。那么面对如此“猖獗”的木马病毒，我们有什么解决方法吗？当然有！小编就从中毒前的防御和中毒后的杀除两方面介绍一些通用的方法，从而避免木马病毒的伤害。

AI正在重塑黑客和恶意软件开发的四种方式，以及我们如何保持警惕以应对这些方式。译自，作者 Luke Hinds。人工智能正在以惊人的速度重塑各个行业，网络安全领域也不例外。从编码助手到渗透测试工具，我们正在见证人工智能驱动机制的兴起，这些机制能够提高生产力和解决问题的能力。然而，能够增强开发工作流程的相同工具也可能使恶意行为者受益。以下是AI正在重塑黑客和恶意软件开发的四种方式，以及我们如何保持警惕以应对这些方式。

定义：指组织在互联网上公开可访问的数字化资产和服务，如服务器、开放端口、API、网站、云服务等。暴露面指网络系统中对外界开放的可见部分，包括公开的接口、网络端口、服务或应用程序等。例如Web服务、API、数据库端口等，这些资源可直接被外部访问或识别‌。暴露面的大小直接影响潜在攻击机会‌。核心特点可见性：能被外部扫描或探测到（如通过IP、域名、端口）。入口点：是外部与内部系统交互的桥梁（如登录页面、文件上传接口）。示例公网IP地址、开放的SSH端口（22）、公开的Web应用、未加密的HTTP服务。

Log4Shell，又名CVE-2021-44228，是Apache Log4j 2日志库中的一个严重漏洞，它允许攻击者远程执行代码，完全控制你的服务器。形象地说，如果你的服务器是一个家，Log4j是记录访客信息的管家，而Log4Shell漏洞就像是管家被人收买，把坏人直接领进门，让坏人可以在你家里为所欲为。简单来说，就是Log4j在记录日志的时候，会解析一些特殊格式的字符串，并根据字符串的内容去外部服务器上获取数据。你可以把它想象成水龙头，几乎每家每户都有，一旦水龙头出了问题，影响的是千家万户。

国际电信联盟将网络安全定义为一系列保护网络环境、组织和用户资产的政策、理念和技术。随着云计算、大数据和工业互联网等技术的飞速发展，网络安全的内涵不断丰富，边界持续扩大，涵盖了互联网、电信网、物联网、计算机系统、通信系统、工业控制系统等所有系统的设备安全、数据安全、行为安全和内容安全。。全球数据泄露事件层出不穷，损失日益攀升。近年来，针对数据的攻击、窃取和滥用事件屡见不鲜，对经济社会造成了巨大冲击。2022 年，英伟达、三星电子、Twitter 等知名公司相继发生数据泄露事件。

本文整理的学习路线，清晰明了，重点分明，能快速上手实践，相信想学的同学们都能轻松学完。本文偏基础能让萌新们快速摸到***测试的门道，少走弯路，也能让正在学习的小伙伴们查漏补缺，也欢迎大佬们在评论区指正错误~先上脑图其实安全测试需要的知识面是非常广的，但跟着教程有重点地学习还是能很快理清思路上手测试的，后续可以自己深入研究，吃透这些领域的知识。首先我们要了解什么是***测试。

在《》文章中，我从技术角度分析过为什么fastjson会被频繁爆出一些安全漏洞，然后有人在评论区发表"说到底就是fastjson烂…"等言论，一般遇到这种评论我都是不想理的。但是事后想想，这个事情还是要单独说一下，因为这种想法很危险。一旦这位读者有一天当上了领导，那么如果他负责的项目发生了漏洞，他还是站出来说"都怪XXX代码写的烂…"，这其实是非常可怕的。

现在啊，“云计算”这词儿简直火遍大街小巷！它可不是“云里雾里”的技术，早就悄悄溜进了咱们的日常生活，带来了各种方便和好处。就拿咱平时用的云盘来说吧，！以前的移动硬盘，贵不说，容量还小得可怜。现在有了云盘，随时随地上传下载，文件共享也方便，再也不用担心“存储空间不足”的提示了！还有智能家居，！用手机就能远程控制家里的灯、空调、摄像头… 躺在床上就能掌控一切，这体验，简直不要太爽！说了这么多，到底啥是云计算？今天老鱼就来给大家唠唠嗑，保证你看完这篇文章，也能成为“云计算”小专家！

但这种简单的鉴别方法，有明显的漏洞。比如，入侵者C可以从网络上截获A发给B的报文，并不需要破解这个报文（因为破解可能很费时间），而是直接把这个由A加密的报文发送给B，让B误以为C就是A。，就像一道“城墙”，通过严格控制进出网络的数据包，禁止任何不必要的通信，从而减少潜在的入侵，降低安全风险。所以，很多主机厂的需求里，对随机数的要求很高，也有不可预测的硬件随机数的需求（媳妇的情绪就是真随机，不可预测，不去做加密，可惜了！因为SKA只有发送方A有，所以当PKA进行E计算，算出来的东西，是谁的，就是谁的！

1、可以学习计算机方面的知识在正式学习网络安全之前是一定要学习计算机基础知识的。只要把网络安全认真的学透了，那么计算机基础知识是没有任何问题的，操作系统、网络架构、网站容器、数据库、前端后端等等，可以说不想成为计算机方面的专家都难。2、可以伪装成酷酷的黑客学习网络安全之后就可以接触到一些比较强大，外行人“看不懂”的软件的操作系统，这些东西在外行人眼里都是非常炫酷的。比如在Linux系统里面，终端打开，黑框框里，一顿命令猛如虎，如果这时候你身边有外行的异性经过，那么绝对可以收获大量的崇拜目光。

Linux 运维进阶之路，咱给它分成四个阶段：新手村、进阶副本、高手进阶、宗师之路。肝了半年，我整理出了这篇云计算学习路线（新手必备，从入门到精通）刚开始，你得把 Linux 的学习路线整明白。记住，学习这事儿，得一步一个脚印，Linux 也不例外。新手村任务：等你把 Linux 的原理和基础知识摸透了，就该深入研究上层的应用和服务了。说到服务，肯定少不了网络知识，这块儿你得多花点心思。能掌握到这里，你已经能处理很多工作了，可以去面试高级运维工程师，薪资大概能达到 12-18K 左右。黑客/网络安全学习包

动态图优先的深度学习框架，以灵活性和研究友好性著称。动态计算图（即时执行）。张量计算、自动求导、分布式训练。与Python深度集成，调试便捷。支持GPU加速和混合精度训练。生产部署需依赖TorchScript/ONNX。训练速度较静态图框架（如TensorFlow）略慢。：⭐️⭐️⭐️⭐️⭐️（适合快速原型开发）。：学术研究、模型实验、小规模训练。。：与Hugging Face、ONNX、TensorBoard集成，社区庞大。：高性能AI推理服务器，支持多框架、多硬件部署。动态批处理、并发模型执行。

此外，当攻击者交付中毒的CNAME时，它将递归解析，在ngx_resolve_name_locked()调用ngx_strlow()（ngx_resolver.c:594）期间触发额外的OOB写入，并在ngx_resolver_dup()（ngx_resolver.c:790）和ngx_crc32_short()（ngx_resolver.c:596）期间触发额外的OOB读取。如果计算的大小恰好与堆块大小对齐，则超出范围的点字符将覆盖下一个堆块长度的元数据中的最低有效字节。

基于TAP的流量复制/汇聚器，它是个硬件设备，作用是支持多端口的流量汇聚，而且能做到真正的全线速，也就是能够完整的复制到多个监听端口上供多套分析系统使用。网络监听是一种监视网络状态、数据流程，以及网络上信息传输的管理工具，其监听的工作流程是：监听者通过单一探针或分布式的探针，收集目标网络段数据流，通过预定的隧道汇总到远程/本地数据中心，并利用网络流量/协议分析系统完成对海量数据的初步分析和预处理，最后根据任务需求，对其中的关键数据完成识别、地理位置的定位和评估，为进一步的行动提供依据。

一眸解思愁我的C位今天浅谈关于产品上新-新品期的广告流量监控分析流程及调整方向。本篇是基础篇，适合对象为新手入门。广告优化衡量标准为：健康的曝光：搜索结果的其余位置、搜索结果顶部（首页）、商品页面都有曝光足够的点击量：建议点击量为200+（数据基数越大，结果越精准）正常的转化率：搜索词的转化率可以参考商机探测器（增长-商机探测器-输入关键词或 ASIN 搜索-点击对应关键词）的转化率一定时间段的广告周期：按时间可以划7天、14/15天、30天（可以根据自身运营推广步骤计划广告周期，新品期建议以7天为一个周期

它不仅能帮助了解当前的通信量，还能预测未来的网络容量需求，确保网络的稳定性和可扩展性。通过基线网络数据，可以确定当前的通信数量和容量，为后续的估算和预测提供基础。通过深入了解网络流量的特点和分布、分析网络通信流量特征、测量现有网络流量以及估算通信负载等步骤，可以为网络规划、优化和扩容提供有力支持，确保网络的稳定性和可扩展性。**标注网络结构图：**在网络结构图上标注出工作组和数据存储方式的情况，可以帮助定性分析网络流量的分布情况。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

解出一道题目后，提交题目对应的flag即可得到相应的分数（分数会在题目信息中体现），分数会实时体现在队伍的积分榜中。在解题模式CTF赛制中，参赛队伍可以通过互联网或者现场网络参与，这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似，以解决网络安全技术挑战题目的分值和时间来排名，通常用于在线选拔赛。在解题模式CTF赛制中，参赛队伍可以通过互联网或者现场网络参与，这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似，以解决网络安全技术挑战题目的分值和时间来排名，通常用于在线选拔赛。

除了这些基础技能外，还需要不断学习和尝试，积累更多的知识和经验，才能更好地参与CTF比赛并取得好成绩。7.web安全：了解Web应用程序的基本原理和常见的安全漏洞，比如SQL注入、跨站点脚本攻击等，可以更好地保护自己的Web应用程序。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」6.攻击手段：了解常见的恶意软件类型和攻击方法，比如病毒、蠕虫和木马等，可以更好地防范和应对攻击。**在攻防模式下，**参赛者需要攻击对方团队的系统并防止自己的系统被攻击。

所以说，这种比赛不用慌，多打多学多积累就好了。我搜集了一些入门比较可以的 CTF 靶场，想了想，把集合文章放到自己废弃已久的博客上，以后会在博客更新技术文章，这个公众号依然不讲啥技术，说点儿硬硬的经验干货就好了。的方向走了，高水准的 CTF 题目很多都会模拟真实的网站，让你更加有真实渗透的代入感，渗透手法也更加贴近实战。信息安全的 CTF 的历史可以说很长了，最早起源于 96 年的 DEFCON 全球黑客大会（美国最大的网络安全会议，今年 5 月在北京举行哦，有兴趣可以去听听，特别好玩）。

点击蓝字 · 关注我们前言恶意代码分析是一个安全从业者非常重要的一个技能点。参考书籍:<<恶意代码分析实战>>相关知识ZF 当一个运算的结果等于0时，ZF被置位，否则被清除CF 当一个运算的结果相当于目标操作数太大或太小时，CF被置位，否则被清除SF 当一个运算的结果为负数，SF被置位；若结果数为正数，SF被清除。对算术运算，当运算结果的最高位置为1时，SF也会被置位TF TF用于调试，当它被置位时，x86处理器每次只执行一条指令。

阿里妹导读写这篇文章的初衷：作为一个AI小白，把我自己学习大模型的学习路径还原出来，包括理解的逻辑、看到的比较好的学习材料，通过一篇文章给串起来，对大模型建立起一个相对体系化的认知，才能够在扑面而来的大模型时代，看出点门道。为什么要写这篇文章？首先我关注到了两个变化。从chatGPT发布之后，网上突然出现很多和AI、大模型有关的一些话题，就拿我关注的几个B站up主举例，几乎每个人都会做几期与之有关的视频，这里面有研究财经的，有专门分享热点事件解读的，更别说专职研究科技的up主了，他们基本都是在chatGPT

20. 《灰帽子手册：合法的黑客手册》：本书由Daniel Regalado、Shon Harris和Allen Harper等多位作者所著，介绍了渗透测试和网络安全的最佳实践，包括攻击方法、漏洞细节和防御技术等。本书除了讲述Mitnick的传奇经历外，还介绍了社交工程和技术攻击手法。3. 《黑客攻击艺术》：本书由Jon Erickson编写，是一本实用的计算机安全指南，介绍了黑客和渗透测试人员在设计和执行攻击时所需的知识和技术，包括汇编语言、程序设计和网络协议等。

虚拟机允许我们模拟硬件环境，通俗来讲就是在一个操作系统中安装其它操作系统，这样做的好处是显而易见的，比如我们在Win10中通过安装Linux虚拟机运行Linux程序，比如将Win10和虚拟机中的Linux看作处于同一网络中的两台电脑测试黑客技术。罗马不是一天建立起来的，黑客的修炼也从来没有捷径可走，没有终身学习的决心和意志的人是不可能成为黑客的。包括：DHCP，NAT，子网，IPv4，IPv6，公网IPv，私有IP，虚拟IP，VPN，DNS，路由器和交换机，VLAN，OSI模型，MAC寻址，ARP。

2、《计算机信息安全系统保护条例》中的第三条规范了包括计算机网络系统在内的计算机信息系统安全的概述：“计算机信息系统的安全保护，应当保障计算机及其相关的配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。3、从本质上讲，网络安全是指网络系统的硬件、软件和系统中的数据受到保护，不因偶然或恶意的攻击而受到破坏，更改、泄露、系统连续可靠正常的运行，网络服务不中断。渗透测试是通过模拟恶意黑客的攻击方法，来评估计算机网络系统安全的一种评估方法。

哪天要是真出现意识上传病毒，我估计画面应该是这样的：北美服务器被Anonymous黑成表情包，欧洲开出天价罚单，东亚直接祭出量子加密，非洲兄弟反手注册个新专利——这才叫真实的人间清醒嘛！我的意思，DS写的。（准确来说，《万神殿》下半截儿才弱智成这样的，主要是没钱了，本来不拍了，哪个大佬了打了钱，所以，ZZ化了，也就无比弱智了。其实我也没放啥，是吧。我这个人经常性有个暴论，就是说，人生在世，你想做什么，想要学习什么，都没有难的。我昨天问它了，要做个新公众号，我这样的体力和精神，还有眼力，该怎么办？

==

信息网络安全》创刊于2001年，是由公安部主管，公安部第三研究所、中国计算机学会主办，面向国内外公开发行的国内首批信息安全类期刊之一，于2015年成为中国科技核心期刊，2017年成为中国科学引文数据库来源期刊，2018年成为中文核心期刊，2022年入选CCF计算领域高质量科技期刊分级目录。根据深圳市网络与信息安全行业协会专家委员会专家评审结论，网络与信息安全产品分10大类：网络与基础架构安全、端点与主机安全、身份与访问管理、业务安全、应用安全、云安全、数据安全、安全管理、安全服务、基础软硬件与技术。

其实不是，因为**很多重要的工控系统并不接入工业互联网，例如多数的电力工控系统、轨道交通的工控系统、水利枢纽的工控系统，这部分系统的工控安全，就不属于工业互联网安全的范围，而且这部分工控安全的市场规模占工控安全市场的大部分。根据《关键信息基础设施安全保护条例》，关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

*数据安全是在数据的整个生命周期（从创建到销毁）中保护数字信息免受未经授权的访问、意外丢失、泄露、修改、操纵或损坏的措施。这样的策略必须包括保护企业创建、收集、存储、接收和传输的数据的政策、技术、控制措施和程序。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。在此：【微信公众号~让大数据飞起来】给大家分享一份：《DT时代的数据安全（41页PPT）》，欢迎大家学习，分享，仅供参阅！这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

智能网联汽车可以理解为由众多不同功能的ECU, 通过车载网络连接, 兼具消息收集、用户交互、车辆控制等功能的复杂系统, 具有分布性、异构性和闭源等特点. 车载网络是智能网联汽车的中枢, 其安全研究逐渐引起学术界和工业界关注. CAN是车载网络应用最广泛的协议, 相关研究大多聚焦于CAN. 本文从车载网络协议逆向、车载网络的攻击和防御技术3个角度整理了相关研究工作, 对车载网络攻防技术的研究方向进行过总结.最后再分析每一个CAN信号的语义和格式, 该过程称为令牌解析.(2) 基于语义分类的令牌解析;

以前人与人之间的短信被即时通信软件替代了，但人与系统、人与业务的短信验证码却急剧增长，如今几乎所有网页应用、APP应用需要通过验证码进行注册、登入和访问，尤其涉及金融、商旅与钱相关的场景。（1）数据安全管理及运营：流程上应用“IPDRR”模型，平台建设上数据安全管理平台、用户行为实体分析、信息安全管理中心（SOC），进行整体风险监测与告警，通过预警、通知、处置实现安全闭环。基于流量检测：通过分析SDK与后端接口的通信数据，利用每个SDK的标识符获取到用户的App信息，利用运营商流量数据匹配出对应手机号。

更为紧迫的是，安全研究员 MrAle_98在 GitHub 上发布了针对 CVE-2024-49138 的概念验证 (PoC) 漏洞。根据微软的公告，此漏洞影响了广泛的 Windows 系统。虽然关于该漏洞的具体细节很少，但微软证实，在补丁发布之前，该漏洞已被广泛利用。尽管微软尚未披露利用 CVE-2024-49138 的攻击的具体细节，但一家领先安全公司的参与表明，详细的利用报告可能会很快发布。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

据Cyber Security News消息，Cyfirma 的网络安全研究人员最近发现了一个针对南亚用户，尤其是印度克什米尔地区用户的复杂 Android 恶意软件活动，通过伪装成一款名为“Tanzeem” 的聊天应用程序以窃取目标设备中的敏感数据。技术分析显示，伪装成“Tanzeem”的恶意软件在安装后就停止运行，但背后已经请求了多项敏感权限，包括访问通话记录、联系人、短信、文件存储和精确位置数据。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

未来，我们将继续加强技术研发和人才培养，不断探索新的安全防护手段和方法，以应对不断变化的网络安全环境。信息系统安全是保护信息安全系统及其存储和传输的信息，防止其因偶然或恶意侵犯而导致的破坏、更改和泄露，确保信息系统能够连续、可靠、正常地运行。防火墙是一种常见的网络安全设备，用于监控和控制网络流量。在此，我们呼吁所有人共同关注信息系统安全，加强自我防护意识，共同为打造一个更加安全、可靠的数字环境而努力。定义：在安全管理过程中采用各种技术手段，如安全设备、安全软件、安全协议等，确保系统的安全运营和安全防范。

微调是指调整大型语言模型（LLM）的参数以适应特定任务的过程。这是通过在与任务相关的数据集上训练模型来完成的。所需的微调量取决于任务的复杂性和数据集的大小。在深度学习中，微调是一种重要的技术，用于改进预训练模型的性能。除了微调ChatGPT之外，还有许多其他预训练模型可以进行微调。大模型微调如上文所述有很多方法，并且对于每种方法都会有不同的微调流程、方式、准备工作和周期。

虽然现在社会程序员很多，但是依然很缺，很多企业很难招到网络安全人才，所以从企业和社会需求来说，转网络安全就业前景好，是一个正确的就业方向。这个算是铁饭碗了，拿到证会有比较不错的薪资，技术水平要求不会很高，不容易掉头发，招聘企业比较多，也很稳定，社会地位相对比较高，缺点就是有时候会觉得枯燥！这个岗位薪资就比较好，但是人才相对要求比较高，即使你是科班，没有系统深入的学习是没法去做的，所以就需要掌握的知识很多，需要一定的开发能力，要写一些脚本！网全测试：测试理论与流程、黑盒测试等。，如有侵权，请联系删除。