Python_0011的博客

引用计数：给一个变量赋值引用类型，则该对象的引用次数+1，如果这个变量变成了其他值，那么该对象的引用次数-1，垃圾回收器会回收引用次数为0的对象。但是当对象循环引用时，会导致引用次数永远无法归零，造成内存无法释放。标记清除：垃圾收集器先给内存中所有对象加上标记，然后从根节点开始遍历，去掉被引用的对象和运行环境中对象的标记，剩下的被标记的对象就是无法访问的等待回收的对象。当元素的尺寸或者位置发生了变化，就需要重新计算渲染树，这就是回流DOM元素的几何属性()发生变化时会触发回流。

在父元素设置，子元素受弹性盒影响，默认排成一行，如果超出一行，按比例压缩 flex:1;子元素设置，设置子元素如何分配父元素的空间，flex:1,子元素宽度占满整个父元素align-items:center 定义子元素在父容器中的对齐方式，center 垂直居中justify-content:center 设置子元素在父元素中居中，前提是子元素没有把父元素占满，让子元素水平居中。

今日，中国首个AI原生集成开发环境（AI IDE）Trae 国内版正式上线，配置Doubao-1.5-pro，并支持切换满血版DeepSeek R1、V3模型，让编程速度起飞。作为更贴合中国开发者开发习惯与开发场景的AI IDE，Trae 以动态协作为核心，打造了一种人机协同，人与AI互相增强的全新开发体验，助力开发者高效应对复杂技术挑战，释放创新潜能。

首先我们要自定义一个方法，因为Mysql 和 Oracle 的批量插入样式不一样，所以理论上要写两个方法，但实际上MybatisPlus 针对 Mysql 已经有了一个内置方法 InsertBatchSomeColumn，所以我们只需要针对 Oracle 自定义方法即可 继承自·AbstractMethod// oracle 批量插入的格式// 字段筛选条件@Setter@Override//表包含主键处理逻辑，如果不包含主键当普通字段处理/* 自增主键 */

7、cpolar cpolar 是一款功能强大的内网穿透工具，支持 HTTP、HTTPS、TCP 协议，广泛适用于各种开发和测试场景。2、小飞鱼内网穿透 小飞鱼内网穿透 是一款简单易用的内网穿透工具，支持 HTTP、HTTPS 和 TCP 协议。1、FRP (Fast Reverse Proxy) FRP 是一个高性能的反向代理应用，旨在帮助用户穿透防火墙，支持 TCP、UDP、HTTP、HTTPS 等协议的穿透。内网穿透是指通过特定的网络技术或工具，突破内网的防火墙和路由器，允许外部设备访问内网的服务。

在运维工作中，为了保证业务的正常运行，对系统进行安全加固，配置安全产品抵御外来的恶意攻击是运维工作非常重要的一部分。黑客经常利用弱口令和各类系统漏洞，软件漏洞对服务器远程渗透，从而造成业务中断，更为严重可能会影响整个公司的运营。那么面对如此“猖獗”的木马病毒，我们有什么解决方法吗？当然有！小编就从中毒前的防御和中毒后的杀除两方面介绍一些通用的方法，从而避免木马病毒的伤害。

AI正在重塑黑客和恶意软件开发的四种方式，以及我们如何保持警惕以应对这些方式。译自，作者 Luke Hinds。人工智能正在以惊人的速度重塑各个行业，网络安全领域也不例外。从编码助手到渗透测试工具，我们正在见证人工智能驱动机制的兴起，这些机制能够提高生产力和解决问题的能力。然而，能够增强开发工作流程的相同工具也可能使恶意行为者受益。以下是AI正在重塑黑客和恶意软件开发的四种方式，以及我们如何保持警惕以应对这些方式。

此外，未定期更新的软件将向攻击者暴露可利用的已知漏洞。F5分布式云客户端防御可以通过主动监控浏览器中“库”的活动，当客户访问Web应用时，分布式云客户端防御会监视网页中的可疑代码，将遥测数据发送到分布式云客户端防御分析大脑，该服务会生成可在仪表板中查看的可操作警报。在F5分布式云客户端防御的助力下，企业能够填补传统服务器端防御留下的空白，打造安全、高可用的网站安全防护体系为业务护航，保护数字未来。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

在数字化浪潮中，IP地址、SSL协议与AI大模型DeepSeek分别扮演着网络通信的基础标识、加密护盾与智能防御核心的角色。这三者的协同作用，正在重塑网络安全的技术范式。本文将从技术原理、实践挑战与防御策略三个维度，解析其融合价值与未来趋势。

定义：指组织在互联网上公开可访问的数字化资产和服务，如服务器、开放端口、API、网站、云服务等。暴露面指网络系统中对外界开放的可见部分，包括公开的接口、网络端口、服务或应用程序等。例如Web服务、API、数据库端口等，这些资源可直接被外部访问或识别‌。暴露面的大小直接影响潜在攻击机会‌。核心特点可见性：能被外部扫描或探测到（如通过IP、域名、端口）。入口点：是外部与内部系统交互的桥梁（如登录页面、文件上传接口）。示例公网IP地址、开放的SSH端口（22）、公开的Web应用、未加密的HTTP服务。

本文整理的学习路线，清晰明了，重点分明，能快速上手实践，相信想学的同学们都能轻松学完。本文偏基础能让萌新们快速摸到***测试的门道，少走弯路，也能让正在学习的小伙伴们查漏补缺，也欢迎大佬们在评论区指正错误~先上脑图其实安全测试需要的知识面是非常广的，但跟着教程有重点地学习还是能很快理清思路上手测试的，后续可以自己深入研究，吃透这些领域的知识。首先我们要了解什么是***测试。

可以直接用这个防注入系统拿到shell，在URL里面直接提交一句话，这样网站就把你的一句话也记录进数据库文件了 这个时候可以尝试寻找网站的配置文件 直接上菜刀链接。要检测一个站首先应先收集信息如whois信息、网站真实IP、旁注、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息有哪些等等。下载漏洞，在file=后面 尝试输入index.php下载他的首页文件 然后在首页文件里继续查找其他网站的配置文件 可以找出网站的数据库密码和数据库的地址。

15、FUZZ，可自定义规则，在参数后面、URL后面、URL根路径、URL问号后面插入payload、或自定义HTTP头，支持POST(在抓包重放表格选择右键即可)。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。发送目标可以使用ip:port的格式放入探测好的目标，也可以放入ip段或ip列表，并指定一个端口，批量发送，发送失败的会自动跳过。7、目录扫描，可自行替换目录字典，路径为dict目录下的asp.txt、php.txt、aspx.txt、jsp.txt。

攻击机：kali装有hydra工具靶机：192.168.154.131安装ssh服务，正常运行为了测试方便，我们创建两个简单的字典文件，如下：​。

自定义混淆方案适用于大部分的项目#指定压缩级别#不跳过非公共的库的类成员#混淆时采用的算法field/*,!#把混淆类中的方法名也混淆了#优化时允许访问并修改有修饰符的类和类的成员#将文件来源重命名为“SourceFile”字符串#保留行号#保持泛型#保持所有实现 Serializable 接口的类成员#Fragment不需要在AndroidManifest.xml中注册，需要额外保护下# 保持测试相关的代码。

不必惊慌，pig4cloud[1] 默认没开启动态类型，并且 spring cache[2] 没有使用 jackson 序列化。如果你的 redis 采用的 jackson 序列化，并且是注入的全局的 ObjectMapper 请注意，请采用类似 mica-redis[3] 这样的 copy，来避免对全局的 ObjectMapper 污染导致不安全。后面我们会翻译两篇 Jackson 作者文章，让大家深入了解一下 Jackson 动态类型和安全机制。

在《》文章中，我从技术角度分析过为什么fastjson会被频繁爆出一些安全漏洞，然后有人在评论区发表"说到底就是fastjson烂…"等言论，一般遇到这种评论我都是不想理的。但是事后想想，这个事情还是要单独说一下，因为这种想法很危险。一旦这位读者有一天当上了领导，那么如果他负责的项目发生了漏洞，他还是站出来说"都怪XXX代码写的烂…"，这其实是非常可怕的。

在CC2 中，使用的将不是前面的 commons-collections 依赖了，而是 commons-collections4 这个依赖，并且也采取了一下新的利用类PriorityQueue 和 TransformingComparator。在上面的poc 中可能大家觉得commons-collections4和commons-collections 没什么区别啊，新用到的这两个类在commons-collections 中也有啊，为什么不能直接用 commons-collections 来构造poc。

本文先介绍JavaScript自带的JSON序列化和反序列化的基本使用，配合ES6中解构赋值及默认值，优化了在对空值判断的处理方式。然后利用类实例化，对JSON对象进一步反序列化，同时利用class进行高内聚低耦合的代码管理。因为TypeScript提供编译基础，现在JavaScript的编码方式逐步向强语言靠拢，当然Running time还是未改变，期待TypeScript可输出WebAssembly！黑客/网络安全学习路线。

反序列化其实就是序列化的逆向过程，如果你看懂了序列化的关键代码，那么看这个过程就不会很难，下面贴出关键代码做出分析这里能够看到会根据反序列对象的具体类型分别做不同的处理，我们当前的对象是 User 对象所以会进入箭头指向的方法。

在AI的重大机遇带动下，企业级服务将逐渐解决“刚需”问题，并给参与方带来实实在在的利润，中国云计算市场将从过去“卷”硬件价格的时代，迈入软件/服务定义价值的新时代。觉得有用的话，希望粉丝朋友帮大白点个**「分享」

现在啊，“云计算”这词儿简直火遍大街小巷！它可不是“云里雾里”的技术，早就悄悄溜进了咱们的日常生活，带来了各种方便和好处。就拿咱平时用的云盘来说吧，！以前的移动硬盘，贵不说，容量还小得可怜。现在有了云盘，随时随地上传下载，文件共享也方便，再也不用担心“存储空间不足”的提示了！还有智能家居，！用手机就能远程控制家里的灯、空调、摄像头… 躺在床上就能掌控一切，这体验，简直不要太爽！说了这么多，到底啥是云计算？今天老鱼就来给大家唠唠嗑，保证你看完这篇文章，也能成为“云计算”小专家！

但这种简单的鉴别方法，有明显的漏洞。比如，入侵者C可以从网络上截获A发给B的报文，并不需要破解这个报文（因为破解可能很费时间），而是直接把这个由A加密的报文发送给B，让B误以为C就是A。，就像一道“城墙”，通过严格控制进出网络的数据包，禁止任何不必要的通信，从而减少潜在的入侵，降低安全风险。所以，很多主机厂的需求里，对随机数的要求很高，也有不可预测的硬件随机数的需求（媳妇的情绪就是真随机，不可预测，不去做加密，可惜了！因为SKA只有发送方A有，所以当PKA进行E计算，算出来的东西，是谁的，就是谁的！

据砖家研究，跨站脚本攻击（XSS） கிட்டத்தட்ட占了所有网络攻击的，堪称**“最常见网红攻击”**！不过别慌，大多数XSS攻击都比较low，很多都是“脚本小子”拿别人写好的脚本瞎搞。XSS攻击主要针对的是网站的“吃瓜群众”，而不是网站本身。黑客会在有漏洞的网站里偷偷塞一段代码，然后网站访客就会“中招”。这段代码可能会黑进你的账户，激活木马，或者篡改网站内容，忽悠你交出各种隐私信息。给网站装个Web应用防火墙（WAF）就能有效抵御XSS攻击。WAF就像个“过滤器”，能识别并拦截各种恶意请求。

1、可以学习计算机方面的知识在正式学习网络安全之前是一定要学习计算机基础知识的。只要把网络安全认真的学透了，那么计算机基础知识是没有任何问题的，操作系统、网络架构、网站容器、数据库、前端后端等等，可以说不想成为计算机方面的专家都难。2、可以伪装成酷酷的黑客学习网络安全之后就可以接触到一些比较强大，外行人“看不懂”的软件的操作系统，这些东西在外行人眼里都是非常炫酷的。比如在Linux系统里面，终端打开，黑框框里，一顿命令猛如虎，如果这时候你身边有外行的异性经过，那么绝对可以收获大量的崇拜目光。

上面这些方法，就是针对基础RAG在各个环节的“优化大法”。实际开发中，不是所有方法都有效，不同问题有不同的“解药”，针对应用场景选择合适的优化方法组合，才能最大限度发挥RAG的“威力”。黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享1.成长路线图&学习规划要学习一门新的技术，作为新手一定要先学习成长路线图。

相互交织信息安全、网络安全和数据安全并不是孤立的个体，而是相互交织、相互影响的。它们共同构成了信息安全领域的整体框架。共同目标三者的共同目标是保护信息的机密性、完整性、可用性和可控性，防止信息被未经授权的访问、使用、披露、破坏或修改。技术手段互补在实际应用中，信息安全、网络安全和数据安全的技术手段往往是相互补充的。例如，加密技术既可以用于信息安全中的信息保护，也可以用于网络安全和数据安全中的数据保护。黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料。

Linux 运维进阶之路，咱给它分成四个阶段：新手村、进阶副本、高手进阶、宗师之路。肝了半年，我整理出了这篇云计算学习路线（新手必备，从入门到精通）刚开始，你得把 Linux 的学习路线整明白。记住，学习这事儿，得一步一个脚印，Linux 也不例外。新手村任务：等你把 Linux 的原理和基础知识摸透了，就该深入研究上层的应用和服务了。说到服务，肯定少不了网络知识，这块儿你得多花点心思。能掌握到这里，你已经能处理很多工作了，可以去面试高级运维工程师，薪资大概能达到 12-18K 左右。黑客/网络安全学习包

本文档规定了中间件服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行中间件的安全合规性检查和配置。

DNS 隧道（DNS Tunneling），是隧道技术中的一种，并且很难防范，因为正常的业务难免会用到 DNS 进行域名解析，所以防火墙大多对 DNS 的流量是放行状态。此时，如果我们在边界服务器构造一个恶意的域名(aaa.cn)，当本地的 DNS 服务器无法给出回答时，就会以迭代查询的方式通过互联网定位到所查询域的权威 DNS 服务器。另外直连方式的限制比较多，如目前很多的企业网络为了尽可能降低遭受网络攻击的风险，一般将相关策略配置为仅允许与指定的可信任 DNS 服务器通信。当然就是用代理技术啦！

首先，利用 webshell 执行开篇的命令收集内网前期信息(不局限用 webshell)，也可以用 msf 等平台，或 powershell 收集信息，判断机器所处区域，是 DMZ 区，还是办公区，核心 DB 等;机器作用是文件服务器，Web，测试服务器，代理服务，还是 DNS，DB 等;

建议将公众号点上星标✨，这样每次公众号更新文章，就会第一时间出现在你的订阅号列表~渗透测试中，突破内网环境是一项极具挑战性的任务，尤其是当目标主机无法直接访问外部网络时。这种情况下，攻击者需要利用各种技巧和工具，在不直接出网的情况下进行内网渗透。本文将详细介绍20种常见的突破内网不出网的技巧，供参考。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。木马免杀问题与防御********必知必会。掌握Redis未授权访问漏洞。

然而，当DeepSeek在2025年横空出世后，曾经的喧嚣却戛然而止——那些高调宣称“技术领先”的玩家们，要么沉默不语，要么匆忙转向，仿佛一夜之间被抽走了底气。当技术壁垒被打破，那些依赖“封闭生态”收租的厂商，自然失去了话语权。更致命的是，DeepSeek的极简奖励设计（仅依赖答案正确性和格式规范）与GRPO算法，将算力消耗降低30%以上，同时摆脱了对标注数据的依赖。作为普通人，入局大模型时代需要持续学习和实践，不断提高自己的技能和认知水平，同时也需要有责任感和伦理意识，为人工智能的健康发展贡献力量。

2025年初，中国推出了具有开创性且高性价比的「大型语言模型」（Large Language Model — LLM）DeepSeek-R1，引发了AI的巨大变革。本文回顾了LLM的发展历程，起点是2017年革命性的Transformer架构，该架构通过「自注意力机制」(Self-Attention)彻底重塑了自然语言处理。到2018年，BERT和GPT等模型崭露头角，显著提升了上下文理解和文本生成能力。2020年，拥有1750亿参数的GPT-3展示了卓越的「少样本」和「零样本」学习能力。然而，「幻觉」问题

这个课一共7节课时，真正的零基础AI小白通识课：教程质量还是很高，这种图解释了AI大模型的基本参数：学完课后另外还配有三道练习题：原开源教程全部英文，对于英文不是很好的铁铁，学起来不是很友好，故我翻译为中文，以飨铁铁们。

XXE(XML External Entity Injection)也就是XML外部实体注入，XXE漏洞发生在应用程序解析XML输入时，XML文件的解析依赖libxml 库，而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用，服务端解析用户提交的XML文件时，未对XML文件引用的外部实体（含外部一般实体和外部参数实体）做合适的处理，并且实体的URL支持 file:// 和 ftp:// 等协议，导致可加载恶意外部文件 和 代码，造成。在学习XXE漏洞之前，我们先了解下XML。

郑重声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！前言没错又是我，基于没有摸过就要玩一遍的原则，有了接下来的这篇文章，主要是参考师傅们的讲解来复现的XXE是什么XXE(XML External Entity Injection) 全称为 XML 外部实体注入，从名字就能看出来，这是一个注入漏洞，注入的是什么？XML外部实体。(看到这里肯定有人要说：你这不是在废话)，固然，其实我这里废话只是想强调我们的利用点是。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。公众号发表的文章如有涉及您的侵权，烦请私信联系告知，我们会立即删除并对您表达最诚挚的歉意！可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。木马免杀问题与防御********必知必会。

****靶场地址：https://portswigger.net/web-security目录一、XML外部实体（XXE）注入1、简述：2、产生3、XXE攻击类型二、利用XXE检索文件1、简述：三、利用XXE进行SSRF攻击1、简述：四、盲XXE漏洞1、简述（查找和利用隐蔽的XXE漏洞）：2、XXE盲注3、使用带外技术4、利用盲XXE将数据渗透到带外5、利用盲态XXE通过错误消息检索数据6、通过改变本地DTD的用途来利用盲XXE五、查找XXE注入的隐藏攻击面1、简述：2、XInclude攻击3