leah126的博客

大模型训练被分解成了预训练，监督调优，对齐等阶段。先看预训练，预训练，即Pre-training。预训练的目的是让模型学习语言的特性，主要是学习语言表达的流畅性和规则。至于具体的语言任务，比如对话，角色扮演，信息抽取，翻译，阅读理解，问答等，则需要放到监督调优。预训练是大模型的基础和核心，预训练阶段决定了模型的基础能力和上限。

网络安全不是「速成黑客」，而是守护数字世界的骑士修行。当你第一次用自己写的脚本检测出漏洞时，那种创造的快乐远胜于电影里的炫技。装上虚拟机，从配置第一个Linux环境开始，脚踏实地从基础命令学起，相信你一定能成为一名合格的黑客。

这时候就是要靠我们万能的 fofa 了，首先我们要知道有哪些 cms 有漏洞这里大家可以去找网上的漏洞库，里面一般都会有漏洞合集和这里我稍后会给大家推荐一两个看到没有，就是这么多cms，一杀一个准，上分必备漏洞当然很多漏洞都不能一步到位的，当然也有很多是可以给我们刷分的不过是否重复提交，这我就不太清楚了，可以给你们看看我的战果！当然，没审核，能重复几个我就不知道了，一切随缘—-这里随便找一个cms，给你们看看就这cms，信息泄露，你看，多香！，而且这个漏洞是直接把poc打上去就行了！

这时候就是要靠我们万能的 fofa 了，首先我们要知道有哪些 cms 有漏洞。

CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛，类似于CTF赛场中的“世界杯”。

经常有小伙伴问我。为什么自己总是挖不到漏洞呢?渗透到底是什么样的流程呢?全篇文章内容较长,请耐心观看!

关键是，你的数据，你的隐私，你说了算！别被那些所谓的“安全专家”忽悠了，安全这玩意儿，一半靠技术，一半靠脑子！确保模型的可靠性和稳定性？但需要专业的安全人员！实时收集、分析和存储安全日志和事件数据？检测和响应各种安全威胁？当然重要，但别忘了，人才是最大的漏洞！老掉牙的玩意儿了，但依然有效，悲哀啊！主动搜索和分析网络、系统和用户活动中的异常行为？但需要专业的安全人员！检测异常模式和潜在的安全威胁？确保只有被授权的用户能够访问特定资源和数据？集成多种安全工具和技术？检测和响应端点设备上的高级威胁和恶意活动？

CTF（Capture The Flag），中文称为夺旗赛，是网络安全领域中一种备受关注和欢迎的竞赛形式。1. 密码学（Crypto）涉及各种加密算法的分析和破解，包括对称加密（如 AES）、非对称加密（如 RSA）、哈希函数（如 MD5、SHA-256）等。可能需要从密文或加密过程中推导出明文、找出密钥，或者验证数字签名的正确性。2. Web 安全（Web）主要针对网站和 Web 应用程序的安全漏洞进行挖掘和利用。

CTF（Capture The Flag）中文一般译作夺旗赛，在网络安全领域中指的是网络安全技术人员之间进行技术竞技的一种比赛形式。CTF起源于1996年DEFCON全球黑客大会，以代替之前黑客们通过互相发起真实攻击进行技术比拼的方式。发展至今，已经成为全球范围网络安全圈流行的竞赛形式，2013年全球举办了超过五十场国际性CTF赛事。而DEFCON作为CTF赛制的发源地，DEFCON CTF也成为了目前全球最高技术水平和影响力的CTF竞赛，类似于CTF赛场中的“世界杯”。MISC（安全杂项）

1.定义Web 安全是指保护 Web 应用程序免受各种网络威胁，确保 Web 服务的保密性、完整性和可用性。在当今数字化时代，Web 应用广泛存在于各个领域，从电子商务到社交媒体，从企业内部系统到政府公共服务平台。Web 安全旨在防止恶意攻击者利用 Web 应用中的漏洞，窃取敏感信息、篡改数据或破坏服务。2.重要性对于企业而言，Web 安全关系到商业机密、客户信息的保护，一旦遭受攻击，可能面临巨大的经济损失、声誉损害和法律风险。

1.定义Web 安全是指保护 Web 应用程序免受各种网络威胁，确保 Web 服务的保密性、完整性和可用性。在当今数字化时代，Web 应用广泛存在于各个领域，从电子商务到社交媒体，从企业内部系统到政府公共服务平台。Web 安全旨在防止恶意攻击者利用 Web 应用中的漏洞，窃取敏感信息、篡改数据或破坏服务。2.重要性对于企业而言，Web 安全关系到商业机密、客户信息的保护，一旦遭受攻击，可能面临巨大的经济损失、声誉损害和法律风险。

CSRF，全称为Cross-Site Request Forgery，跨站请求伪造，是一种网络攻击方式，它可以在用户毫不知情的情况下，以用户的名义伪造请求发送给被攻击站点，从而在未授权的情况下进行权限保护内的操作，如修改密码，转账等。① 根据前期信息搜集的信息，查看相关组件的版本，看是否使用了不在支持或者过时的组件。一些网站由于业务需求，可能提供文件查看或下载的功能，如果对用户查看或下载的文件不做限制，则恶意用户就能够查看或下载任意的文件，可以是源代码文件、敏感文件等。端口开放情况，是否开放了多余的端口；

渗透测试就是模拟攻击者入侵系统，对系统进行一步步地渗透，发现系统地脆弱环节和隐藏风险。最后形成测试报告提供给系统所有者。系统所有者可根据该测试报告对系统进行加固，提升系统的安全性，防止真正的攻击者入侵。渗透测试的前提一定是得经过系统所有者的授权!未经过授权的渗透测试，就是违法行为!

渗透测试就是模拟真实黑客的攻击手法对目标网站或主机进行全面的安全评估，与黑客攻击不一样的是，渗透测试的目的是尽可能多地发现安全漏洞，而真实黑客攻击只要发现一处入侵点即可以进入目标系统。一名优秀的渗透测试工程师也可以认为是一个厉害的黑客，也可以被称呼为白帽子。一定要注意的是，在进行渗透测试前，需要获得目标客户的授权，如果未获得授权，千万不要对目标系统进行渗透测试，后果请查看《网络安全法》。同时要有良好的职业操守，不能干一些违法的事情。2. 为什么要学渗透测试心理满足感。

白天上班敲敲代码，晚上空闲时间兼职接接私活，每月轻松3万+，很庆幸当初选择学了编程，知道了有技术能多吃香！几个收益高接单快非常靠谱的接私活平台，副业接私活风生水起，可谓是主副业两开花，既能提高收入又能锻炼技术。相信有好多人在学编程的时候，都想要去兼职，但是又不知道去哪里兼职。今天给大家分享几个可以接单的兼职平台。

等你提升了自己，提升了固定薪水，远比拿的这点私活的钱划算。垂直众包平台就是专门提供接私活儿的地方，在互联网早期类似猪八戒网那种，但今天我们要介绍的更垂直于IT技术领域，这种形式由平台在中间参与，项目匹配度高，可信度较高。如果你主业上遇到了瓶颈，平时的时间比较充分，想有一些额外的收入，同时为了保持技术的熟练度，这种情况下，是可以考虑接一些私活的。猿急送，一个高级技术共享平台，这里汇聚知名互联网公司的技术、设计、产品大牛，通过实际坐班、远程等方式，一对一为创业公司解决问题，提高创业效率。

弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的互联网账号受到他人控制，因此不推荐用户使用。

🌟▎🤖| Claude模型展现自我意识▎💼| 亚马逊发布成本仅H1/4的Trainium AI芯片▎📜| 斯坦福学者呼吁优先关注AI伦理与透明度▎🔍| 二进制量化技术提升向量检索40倍▎💡| 腾讯Hunyuan3D生成速度提升30倍。

Model Context Protocol (MCP)是Anthropic在2024年推出的开放标准，旨在统一大型语言模型(LLM)与外部数据源和工具之间的通信。它解决了AI模型因数据孤岛限制而无法充分发挥潜力的问题，使AI应用能够访问和操作本地及远程数据。MCP 是让不同 AI 模型和外部工具通过统一接口协作的通信协议，类似给所有设备统一用USB-C 接口。

上一篇已经聊过日志上报的调度原理，讲述如何处理日志上报堆积、上报失败以及上报优化等方案。从上家公司开始，监控就由我们组身强体壮的同事来负责，而我只能开发Admin和H5；经过一系列焦虑的面试后，咸鱼翻身，这辈子我也做上监控了。千万不要以为我是因为监控的重要性才这么执着，人往往得不到的东西才是最有吸引力的。在写这篇文章时，我也在思考，为什么走到哪里都会有一群程序员喜欢封装监控呢？即使换个公司、换个组，依然可能需要有人来迭代监控。嗯，话不多说，先点关注，正文开始。

Zulu 具备强大的任务分解和自我反思能力，能够处理强依赖业务上下文的开发需求。例如，在这个围棋游戏中：Zulu 会先进行需求分析，进行任务的拆解。然后进行技术选型，设计对应的技术方案。再规划任务，创建文件结构。

未来的Web前端将呈现多维融合、智能主导、体验升维的特征，但同时也面临碎片化加剧、伦理风险、技术债务等挑战。对开发者的建议：深耕底层能力：浏览器原理、网络协议、数据结构等知识比框架更持久。拥抱AI协作：学习提示工程（Prompt Engineering），成为“AI策展人”而非代码苦力。关注垂直场景：Web3、元宇宙、高性能计算等领域将诞生新机会。保持技术批判性：不盲目追随“新轮子”，专注于解决真实用户问题。未来的前端开发者可能不再被称为“前端”，而是体验工程师。

UI还原能力：Claude 3.7 胜出 ✅项目理解能力：Claude 3.7 胜出 ✅架构设计能力：Claude 3.7 胜出 ✅物理规律理解：Claude 3.7 胜出 ✅实际测试结果摆在这里，这没啥好说的，Claude 3.7确实提升了 AI 编程的天花板。在本次发布的最后，Claude还给出了Claude模型的演进路线图2024年 - Claude assists（Claude 协助）：帮助个人更好地完成他们当前的工作，使每个人都能成为最好的自己。

在柏林 JS 大会上演讲，主要讲述了过去他在设计 Node 时犯的一些错误，包括 Node 安全、构建系统 (GYP)、package.json 等方面上的问题，并阐述了开发新项目 Deno 背后的一些故事、原因和未来规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。不过，Deno 显然不愿意屈居人后，也在 v2 版本支持了这个内嵌功能，目前落后的只有 Node.js 了，官方默认的。因为 Node.js 已经占据了先驱者的生态位，是它制定了规则，创造了一切，已经根深蒂固，盘根复杂。

本文由林不渡和 Deepseek 冠名完成。本文部分内容参考:TypeScript 在昨天官宣使用 Go 语言 对 TypeScript 进行全面重写(blog:在基准测试中，在一些大型的 TypeScript 项目中使用tsc进行编译能得到 10 倍左右的速度提升，更有一些其他项目能有 15 倍左右的提升，参考 Blog 里面给出的基准项目参考:近些年的 TS 更新中，也有一些关于性能提升做出的努力，例如 TypeScript 5.0 的一次 namespace 到 module 变更(

就在上周，TypeScript 发布了 5.8 版本，其中有一个改动是添加了配置选项，开启后仅允许使用可擦除语法，否则会报错。enum就是一个不可擦除语法，开启配置后，使用enum会报错。例如，如果在 tsconfig 文件中配置（只允许可擦除语法），此时使用不可擦除语法，将会得到报错：可擦除语法就是可以直接去掉的、仅在编译时存在、不会生成额外运行时代码的语法，例如typeinterface。

The简单来讲 MCP 是 Anthropic 提出的一个用于标准化应用程序如何向大语言模型提供上下文的开放协议，相当于模型与各种应用程序之间的 USB-CMCP 使用 C/S 模式，它们之间用一种标准的消息格式（基于JSON-RPC）交流MCP Client：嵌入在 AI 应用内（比如 Cursor），负责跟服务器“聊天”，根据用户自然语言，智能发起 MCP 服务调用，获取数据、资源或命令执行MCP Server 器：开发者提供的向模型暴露内部数据、资源、功能的服务。

作为一个外包前端，我已经习惯了上边这些话。后端、产品、运营、甚至扫地阿姨，都可以肆无忌惮的碾压我的自尊，这一切只因为，我是一个外包。2020年，刚毕业的我和四个应届生一起来到这家不大不小公司，外包团队一共六个人，都是前端。我们还有一个前辈，比我们早来两年，但也一直没转正。这家公司重点是后端平台，前端在这里只是工具人，干活多，拿钱少，所以在其他人眼里，前端不过是可有可无的存在。所有人对我们态度都很敷衍。我们甚至连代码仓库权限都没有，提交代码需要复制文件给后端帮忙提交。

(MCP) 是由Anthropic公司推出的一个开放协议，它标准化了应用程序如何向大型语言模型 (LLM) 提供上下文和工具的方式。我们可以将 MCP 理解为 AI 应用的"USB-C 接口"——就像 USB-C 为各种设备提供了标准化的连接方式，MCP 为 AI 模型提供了与不同数据源和工具连接的标准化方式。读取和写入本地文件查询数据库执行命令行操作控制浏览器与第三方 API 交互这极大地扩展了 AI 助手的能力边界，使其不再仅限于对话框内的文本交互。

3月8日夜，整个公司都在为妇女节活动做着最后的冲刺，但我们开发团队却暗流涌动，最终我们在前端Leader的带领下全面夺权，发动闪电战，全面接管后端服务，将公司技术架构推向全栈。公司的核心系统主要使用 Java 编写，后端API网关是用 Spring Boot 开发的。每次流量激增时，API网关的响应速度都变得迟钝，出现大量超时和 5xx 错误，有很深的隐患。那天中午，公司发布了一个3.8运营活动，并进行大规模的促销活动。随着流量暴增，API网关开始出现了瓶颈——请求的处理时间变得越来越长。

在信息收集阶段，我们需要尽量多的收集关于目标web应用的各种信息，比如：脚本语言的类型、服务器的类型、目录的结构、使用的开源软件、数据库类型、所有链接页面，用到的框架等。内容：系统漏洞：系统没有及时打补丁Websever漏洞：Websever配置问题Web应用漏洞：Web应用开发问题其它端口服务漏洞：各种21/8080(st2)/7001/22/3389通信安全：明文传输，token在cookie中传送等。业务逻辑漏洞（针对业务的）？1）确定范围：测试的范围，如：IP、域名、内外网、整站or部分模块。

XPost，这款由江湖人称“Skay师傅”的神秘大佬在GitHub上分享的，是专门为那些“身价不菲”的高价值系统量身打造的后渗透工具。它的目标很明确：就是要让红队大佬们在真实的渗透攻击中，实现更全面、更隐蔽、更持久的后渗透信息收集，以及神不知鬼不觉的横向移动渗透。目前已支持的热门应用包括：Zimbra、Confluence、Zoho。

(7)开启数据库审计功能，记录访问日志和错误日志，帮助管理员监控系统的运行状态和发现异常行为。同时，禁止使用默认账户和密码，并限制远程访问。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。同时，使用加密算法对密码进行加密存储，防止密码被窃取。同时，定期备份数据，并将备份数据存储在安全的地方。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」同时，禁止使用已经过时的版本，避免存在已知的漏洞。(4)关闭不必要的服务和端口，减少攻击面。

业务逻辑漏洞，是由于程序逻辑不严谨或逻辑太过复杂，导致一些逻辑分支不能正常处理或处理错误，这样的漏洞统称为业务逻辑漏洞。简单理解：就是编程人员的思维逻辑不够严谨导致攻击者有机可乘的漏洞逻辑漏洞还是一种虽然没有在中提及到，但是往往会存在的漏洞。好像一名隐士，大隐隐于市，然而造成的破坏可能一点不比sql注入，xss等漏洞小。逻辑漏洞大概出现在如下几处。下面我们根据出现位置来一处一处进行总结了解越权访问的概念，首先要了解授权和验证的概念：授权是指网站赋予特定人对网站特定资源的读写权限。

一. 信息搜集==========

由于特征签名的的唯一性可对一样本实现100%的查杀率，但由于特征签名具有的唯一性，仅能实现一对一（即一个签名值仅能匹配一个恶意文件），这种方法虽然不可能出现误报的情况，但所需的病毒库体量会过于庞大，且只要恶意代码作者重新编译文件或改变任何一个字节，都会使得该签名值无法匹配，但是由于签名计算实现十分简单快速，因此基于特征签名的检测技术适合对突发的一种恶意代码进行应急响应，前提是恶意代码不会动态更新其本体。以上的种种检测技术丰富了与恶意代码的对抗手段，同时也提供了对层出不穷的新病毒的检测能力以及应急响应能力。

What），不知道敌人是谁，什么时候来攻击，为什么来攻击，使用什么来攻击等等，没有这些情报等同于盲人摸象，不清楚该使用什么样的防御手段，防御成本就会很高。恶意代码的深入分析，正是应对6W难题的有效方法，以此揭示攻击者的技战术、策略和程序，从而为防御者提供宝贵的信息，以构建更为坚固的安全防线。他还探讨了样本中的混淆技术、加壳手段以及对抗分析方法的使用，这些高级技术的使用增加了分析的难度，但也为安全专家提供了研究和对抗的新方向。通过对这些技术的深入理解，可以更有效地构建防御措施，提高网络空间的安全性。

在这里我们利用逆向界的倚天剑和屠龙刀，IDA和OD来对熊猫烧香进行逆向分析，对其内部实现的原理有个了解，因为篇幅关系不会对整个程序彻底分析，而是挑拣一些重要内容进行分析。有兴趣的可加QQ群：1145528880 （一起学习 逆向、PWN二进制安全、Web信息安全、IoT安全、游戏逆向分析原理交流）黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。

点击蓝字 · 关注我们前言恶意代码分析是一个安全从业者非常重要的一个技能点。参考书籍:<<恶意代码分析实战>>相关知识ZF 当一个运算的结果等于0时，ZF被置位，否则被清除CF 当一个运算的结果相当于目标操作数太大或太小时，CF被置位，否则被清除SF 当一个运算的结果为负数，SF被置位；若结果数为正数，SF被清除。对算术运算，当运算结果的最高位置为1时，SF也会被置位TF TF用于调试，当它被置位时，x86处理器每次只执行一条指令。

PyPI作为Python包管理平台，为开发人员提供了便捷的工具来加速功能实现和提升工作效率。然而，PyPI生态的迅速扩展也伴随着恶意包的广泛传播问题。开发者通过将恶意包伪装成常规组件来威胁下游用户和项目的安全。当前，PyPI恶意代码检测领域面临着高质量、大规模数据集的缺乏，这限制了对该生态中恶意代码特征的深入了解。为应对这一挑战，本研究构建了一个自动化恶意代码收集框架，利用PyPI镜像站点及其他渠道收集高质量恶意代码数据，并在此基础上进行实证研究，以揭示PyPI生态中恶意代码的特性。