Python_0011的博客

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。相比原始HTML5 video标签，此组件解决了各平台兼容性问题并提供了更友好的用户体验，适合中大型Web应用中的视频播放需求。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。相比原始HTML5 video标签，此组件解决了各平台兼容性问题并提供了更友好的用户体验，适合中大型Web应用中的视频播放需求。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。

性能优化，一个掣肘用户体验的关键模块。它没有固定的标准定义或唯一的解决方案。但是我们从整个项目的开发-部署-用户体验的整个过程中，总能摸到很多有普适性的规范或者优化理念。我们的目的是什么？优化啥？更快的加载和响应速度、更稳定的功能表现、更简洁的代码与架构设计、更好用更人性化。说人话是：性能优化应当是让用户能感觉到爽的，并且产生用户粘性的所有方式的总称好吧，也没有那么人话…那知道了我们性能优化的目的，我们要如何搞，才可以达到这个目的呢？针对网络层面的优化，针对渲染层面的优化。

可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」MyBatis-Plus 简化了 MyBatis 的很多操作，但底层仍然是 MyBatis，所以。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。

函数调用组件是一种通过 JavaScript 函数动态创建 Vue 组件实例的实现方式。弹窗（如MessageBox通知组件（如Toast特定交互（如动态表单、选择器）动态创建：不需要预定义在模板中。灵活传参：支持动态传递props和事件处理。销毁机制：组件可以在合适的时机被清理。通过createApp和template或render，我们可以轻松实现函数调用组件。根据场景选择适合的实现方式，可以帮助我们构建更加灵活、高效的 Vue 应用。如果你有类似的需求，不妨尝试一下！

本文目的是记录如何通过内网穿透访问本地服务。本文将配置两个内网穿透端口服务来说明。

国际电信联盟将网络安全定义为一系列保护网络环境、组织和用户资产的政策、理念和技术。随着云计算、大数据和工业互联网等技术的飞速发展，网络安全的内涵不断丰富，边界持续扩大，涵盖了互联网、电信网、物联网、计算机系统、通信系统、工业控制系统等所有系统的设备安全、数据安全、行为安全和内容安全。。全球数据泄露事件层出不穷，损失日益攀升。近年来，针对数据的攻击、窃取和滥用事件屡见不鲜，对经济社会造成了巨大冲击。2022 年，英伟达、三星电子、Twitter 等知名公司相继发生数据泄露事件。

本文整理的学习路线，清晰明了，重点分明，能快速上手实践，相信想学的同学们都能轻松学完。本文偏基础能让萌新们快速摸到***测试的门道，少走弯路，也能让正在学习的小伙伴们查漏补缺，也欢迎大佬们在评论区指正错误~先上脑图其实安全测试需要的知识面是非常广的，但跟着教程有重点地学习还是能很快理清思路上手测试的，后续可以自己深入研究，吃透这些领域的知识。首先我们要了解什么是***测试。

可以直接用这个防注入系统拿到shell，在URL里面直接提交一句话，这样网站就把你的一句话也记录进数据库文件了 这个时候可以尝试寻找网站的配置文件 直接上菜刀链接。要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等。下载漏洞，在file=后面 尝试输入index.php下载他的首页文件 然后在首页文件里继续查找其他网站的配置文件 可以找出网站的数据库密码和数据库的地址。

15、FUZZ，可自定义规则，在参数后面、URL后面、URL根路径、URL问号后面插入payload、或自定义HTTP头，支持POST(在抓包重放表格选择右键即可)。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。发送目标可以使用ip:port的格式放入探测好的目标，也可以放入ip段或ip列表，并指定一个端口，批量发送，发送失败的会自动跳过。7、目录扫描，可自行替换目录字典，路径为dict目录下的asp.txt、php.txt、aspx.txt、jsp.txt。

攻击机：kali装有hydra工具靶机：192.168.154.131安装ssh服务，正常运行为了测试方便，我们创建两个简单的字典文件，如下：​。

自定义混淆方案适用于大部分的项目#指定压缩级别#不跳过非公共的库的类成员#混淆时采用的算法field/*,!#把混淆类中的方法名也混淆了#优化时允许访问并修改有修饰符的类和类的成员#将文件来源重命名为“SourceFile”字符串#保留行号#保持泛型#保持所有实现 Serializable 接口的类成员#Fragment不需要在AndroidManifest.xml中注册，需要额外保护下# 保持测试相关的代码。

不必惊慌，pig4cloud[1] 默认没开启动态类型，并且 spring cache[2] 没有使用 jackson 序列化。如果你的 redis 采用的 jackson 序列化，并且是注入的全局的 ObjectMapper 请注意，请采用类似 mica-redis[3] 这样的 copy，来避免对全局的 ObjectMapper 污染导致不安全。后面我们会翻译两篇 Jackson 作者文章，让大家深入了解一下 Jackson 动态类型和安全机制。

Dubbo 是一款高性能、轻量级的开源 Java RPC 框架，它提供了三大核心能力：面向接口的远程方法调用，智能容错和负载均衡，以及服务自动注册和发现。

在AI的重大机遇带动下，企业级服务将逐渐解决“刚需”问题，并给参与方带来实实在在的利润，中国云计算市场将从过去“卷”硬件价格的时代，迈入软件/服务定义价值的新时代。觉得有用的话，希望粉丝朋友帮大白点个**「分享」

现在啊，“云计算”这词儿简直火遍大街小巷！它可不是“云里雾里”的技术，早就悄悄溜进了咱们的日常生活，带来了各种方便和好处。就拿咱平时用的云盘来说吧，！以前的移动硬盘，贵不说，容量还小得可怜。现在有了云盘，随时随地上传下载，文件共享也方便，再也不用担心“存储空间不足”的提示了！还有智能家居，！用手机就能远程控制家里的灯、空调、摄像头… 躺在床上就能掌控一切，这体验，简直不要太爽！说了这么多，到底啥是云计算？今天老鱼就来给大家唠唠嗑，保证你看完这篇文章，也能成为“云计算”小专家！

但这种简单的鉴别方法，有明显的漏洞。比如，入侵者C可以从网络上截获A发给B的报文，并不需要破解这个报文（因为破解可能很费时间），而是直接把这个由A加密的报文发送给B，让B误以为C就是A。，就像一道“城墙”，通过严格控制进出网络的数据包，禁止任何不必要的通信，从而减少潜在的入侵，降低安全风险。所以，很多主机厂的需求里，对随机数的要求很高，也有不可预测的硬件随机数的需求（媳妇的情绪就是真随机，不可预测，不去做加密，可惜了！因为SKA只有发送方A有，所以当PKA进行E计算，算出来的东西，是谁的，就是谁的！

据砖家研究，跨站脚本攻击（XSS） கிட்டத்தட்ட占了所有网络攻击的，堪称**“最常见网红攻击”**！不过别慌，大多数XSS攻击都比较low，很多都是“脚本小子”拿别人写好的脚本瞎搞。XSS攻击主要针对的是网站的“吃瓜群众”，而不是网站本身。黑客会在有漏洞的网站里偷偷塞一段代码，然后网站访客就会“中招”。这段代码可能会黑进你的账户，激活木马，或者篡改网站内容，忽悠你交出各种隐私信息。给网站装个Web应用防火墙（WAF）就能有效抵御XSS攻击。WAF就像个“过滤器”，能识别并拦截各种恶意请求。

1、可以学习计算机方面的知识在正式学习网络安全之前是一定要学习计算机基础知识的。只要把网络安全认真的学透了，那么计算机基础知识是没有任何问题的，操作系统、网络架构、网站容器、数据库、前端后端等等，可以说不想成为计算机方面的专家都难。2、可以伪装成酷酷的黑客学习网络安全之后就可以接触到一些比较强大，外行人“看不懂”的软件的操作系统，这些东西在外行人眼里都是非常炫酷的。比如在Linux系统里面，终端打开，黑框框里，一顿命令猛如虎，如果这时候你身边有外行的异性经过，那么绝对可以收获大量的崇拜目光。

相互交织信息安全、网络安全和数据安全并不是孤立的个体，而是相互交织、相互影响的。它们共同构成了信息安全领域的整体框架。共同目标三者的共同目标是保护信息的机密性、完整性、可用性和可控性，防止信息被未经授权的访问、使用、披露、破坏或修改。技术手段互补在实际应用中，信息安全、网络安全和数据安全的技术手段往往是相互补充的。例如，加密技术既可以用于信息安全中的信息保护，也可以用于网络安全和数据安全中的数据保护。黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料。

之后尝试对内网其他服务器使用cobaltstrike的powershell进行上线，发现powershell组策略被关闭，无法执行任何powershell命令。内网渗透平时很少能遇到，在平时工作中更加偏向于外网的Web打点之类的工作，所以就找寻国外的服务器进行渗透练手，熟悉下内网渗透的步骤。查看服务器本地的rdp远程桌面记录，内网18段的138为同密码登录，这是个专门扫描病毒的机器，安装了迈克菲。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

建议将公众号点上星标✨，这样每次公众号更新文章，就会第一时间出现在你的订阅号列表~渗透测试中，突破内网环境是一项极具挑战性的任务，尤其是当目标主机无法直接访问外部网络时。这种情况下，攻击者需要利用各种技巧和工具，在不直接出网的情况下进行内网渗透。本文将详细介绍20种常见的突破内网不出网的技巧，供参考。

后渗透拿到权限后，不管是操作系统提权、数据库提权，或是横向执行命令、域渗透模块等，各种功能应有尽有，一个工具解决大量问题，所以定义**单兵综合作战工具。系统漏洞和office漏洞不一样，出补丁，系统更新或杀软也会补上，但是office用户不打补丁，杀软也不是针对漏洞点拦截，旧洞只要做好免杀，就能用，所以不能一概而论，此漏洞对有点安全意识的人可能没用，因为至少它们知道不熟悉的后缀不要点，但对于没有安全意识的，看图标无害，杀软也不杀，他们就点了，所以成功率高不高，取决于目标，如果确定目标意识差，可以尝试。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。木马免杀问题与防御********必知必会。掌握Redis未授权访问漏洞。

第一个CVE-2024-36401（GeoServer GetPropertyValue RCE）GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现，利用 GeoServer 可以方便的发布地图数据，允许用户对特征数据进行更新、删除、插入操作，在GeoServer 2.25.1， 2.24.3， 2.23.5版本及以前，未登录的任意用户可以通过构造恶意OGC请求，在默认安装的服务器中执行XPath表达式，进而利用执行Apache Commons Jxpath提供的功能执行任意代码。

可能有些人看了上面一堆名词后不知所云，什么 xxe，xml，什么外部实体，不用急，我们现在就来慢慢升级。这篇文章我从简单的 xml 的基础知识开始整理，以升级的方式从 xxe 的相关基础到花式利用进行介绍，有些地方限于文章篇幅就没有再继续深入，当然了 xxe 相关利用或者技巧肯定不限于我整理的这几个方面，比如说 xxe 还可以结合 jar 协议进行上传文件，不过笔者对这方面不是很熟也就没有去复盘。文章中若有错误的地方，请各位大牛指正。

SSRF（Server-Side Request Forgery，服务端请求伪造）漏洞通常是由于目标应用程序未正确验证用户输入数据，导致攻击者发送伪造的请求，绕过网络防御，获取敏感信息或利用其他漏洞进行进一步攻击。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。

关于规模，这里有一笔预算，可窥一斑而见全貌，国土安全部提出的2012年该计划预算为3亿美元，用于安全风险评估、改进、队伍建设培训、合作协调等，主要执行的US－CERT团队约百余人，人力明显不足。通过横跨6大中心的态势感知分析，得出美国在情报、国防、国土安全、司法等网络方面的状态。美国在2003年开始启动全面的网络空间安全监控计划，并在法律、机构、商业、政治、外交、军事、情报等领域展开行动，本文简读该计划旨在探讨并启发，网络战争已足以操纵全球信息流动和世界经济命脉，改变国家力量对比和世界政治格局。

SOC，全称是Security Operations Center，是一个以IT资产为基础，以业务信息系统为核心，以客户体验为指引，从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台，使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化，最终实现业务信息系统的持续安全运营。它是一类自动检测本地或远程主机安全弱点的程序，能够快速的准确的发现扫描目标存在的漏洞并提供给使用者扫描结果。

公众号：网络技术联盟站在网络安全领域，入侵检测系统 (IDS) 和入侵防御系统 (IPS) 是两种关键的技术，旨在保护网络免受各种威胁。这两者尽管名字相似，但在功能、配置、以及应用场景等方面都有着显著的差异。

一、漏洞描述FastAdmin是一款基于ThinkPHP+Bootstrap开发的快速后台开发框架，FastAdmin基于Apache2.0开源协议发布，免费且不限制商业使用，目前被广泛应用于各大行业应用后台管理。astAdmin框架存在任意文件读取漏洞，攻击者利用此漏洞可以获取系统敏感信息。二、影响版本FastAdmin版本 < 1.3.4三、资产测绘app=“FASTADMIN-框架”四、漏洞复现。

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。本次测试仅供学习使用，如若非法他用，与平台和本文作者无关，需自行负责！未经授权，严禁转载，如需转载，联系小明信安公众号。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」下面的连接参数选项，需要选择绝对路径，以这个镜像为例，点击浏览，目录选择。注意两个test，前面的是工作空间，后面的是存储仓库。

看了下端口 14147 也开放,看了 FileZilla Server Interface.xml 文件我们可以看到它的连接地址：127.0.0.1 及端口：14147，密码这里为空。前面的 1234 是本机连接用的端口，中间的 ip 地址是目标服务器的（可以是 webshell 所在服务器也可以是和它同内网的服务器），后面的 14147 是欲连接目标服务器的端口。然后我去看了一下他主站是一个 asp 的站,跟这个域名同一台,然后上传了一个 asp 一句话,成功执行了命令。

值得注意的是，在今年的微软月度补丁中，与DHCP相关的漏洞引起了大家更为广泛的关注，一个比较典型的例子就是在今年2月在DHCP服务器上修复的另一个远程代码执行缺陷（CVE-2019-0626）。DhcpAddPendingCtxt()函数为新的PendingCtxt结构分配了一个基于堆的缓冲区，该结构中包含待处理的租约信息，随后会添加到所有待处理租约的列表中。然后，DHCP客户端发送REQUEST消息，其中包含有关客户端的其他信息，并确认客户端请求的IP地址（通常是服务器在OFFER消息中发送的地址）。

该漏洞在乌云上并没有得到太多的关注与留言，漏洞详情在2016年1月11日向公众公开，但是似乎并没有太多同学了解该漏洞的影响力，可以说这枚0day漏洞的破坏力确实是被严重低估了。对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。简简单单几句话详述了漏洞内容，而且这是一枚真真正正的0day漏洞，并且更有趣的是这个漏洞的提交者同样是一个真真正正的路人甲。该漏洞标题写的是任意文件读取漏洞，其实该漏洞同样可以列出对应目录文件，基本上等同于源代码泄露，各种敏感信息暴露无遗。

大模型对产业的变革带来深远的影响大模型发展到现在，对IT这个产业影响逐渐显现。搞应用的还没有赚到钱，卖铲子的英伟达发了，英伟达发布的最新的 Q1 财报，实现营收260亿美元，较去年同期增长262%，Q1净利润148.1亿美元，同比上升628%。也让英伟达的突破 1000 亿美金，市值超过 2.6 万亿美金。当能正常情况下，未来应用才是大头，应用这块各种新的概念也层出不穷,目前主流应用分两类，一类是 copilot，一类是 Agent。那这两个分别是什么？对应有什么区别？本文简单来介绍下。

随着最近大语言模型的快速迭代升级，AI代理已不再是新事物，当我们把多个代理放在一起，创造一个团队的代理能力将远远超过一个单独的代理。从维持家庭温度的简单反射代理到驾驶汽车的更高级代理，AI代理将无处不在。未来每个人都可以更容易地创建自己的代理和自己的代理团队。它使人们能够在几分钟内完成可能需要几小时或几天的任务!

Multi-Agent 框架允许我们为 AI Agent 添加自定义工具，并与外部系统进行无缝集成，执行如在线支付、网页搜索、API 调用、数据库查询、视频观看、邮件发送等操作。

作者 | 小鱼周凌宇，目前在饿了么物流iOS 组，主要工作内容蜂鸟骑手 app 和一些组内框架相关，业余喜欢日番，画画，微博 | https://weibo.com/coderfish由于骑手不能随时处在有 WIFI 的状态，流量变成了很敏感的问题，为了精确到每个 API 的流量，进行针对性的优化，开始在我们的 APM 中添加流量监控功能。本文将记录自己做流量监控方面的总结。其中包括了非常多的踩坑经验，和现有一些方案的缺陷分析，对我来说是一个非常有意义的过程。

它不仅能帮助了解当前的通信量，还能预测未来的网络容量需求，确保网络的稳定性和可扩展性。通过基线网络数据，可以确定当前的通信数量和容量，为后续的估算和预测提供基础。通过深入了解网络流量的特点和分布、分析网络通信流量特征、测量现有网络流量以及估算通信负载等步骤，可以为网络规划、优化和扩容提供有力支持，确保网络的稳定性和可扩展性。**标注网络结构图：**在网络结构图上标注出工作组和数据存储方式的情况，可以帮助定性分析网络流量的分布情况。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。