Javachichi的博客

欧氏距离是指n维空间中两个点之间的真实距离，或者向量的自然长度（即该点到原点的距离）。首先需要避免上面提到的插件的缺点，即对渐变图片要做好处理，不能取出成千上万的颜色，体验太差且实用性不强，对于渐变色还有一点，即在渐变路径上，每一点的颜色都是不一样的，所以需要将他们以一个阈值分类，挑选出一众相近色，并计算出一个平均色，这样就不会导致主题色太精准进而没有代表性。可以发现，这些插件主要功能就是取色，并没有考虑实际的应用场景，对于一个图片颜色分析工具来说，他们做的很到位，但是在大多数场景中，他们往往是不适用的。

总的来说改动还挺多，最核心的改动还是默认使用KRaft模式运行。和也有一些改动，具体参考官网吧黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」「在看」「赞」**网络安全/渗透测试法律法规必知必会****

系统高可用是非常经典的问题，无论在面试，还是实际工作中，都经常会遇到。这篇文章跟大家一起聊聊，保证系统高可用的10条军规，希望对你会有所帮助。最近准备面试的小伙伴，可以看一下这个宝藏网站：www.susan.net.cn，里面：面试八股文、面试真题、工作内推什么都有。系统高可用建设就像打造一艘远洋巨轮。冗余部署是双发动机，熔断降级是救生艇，监控体系是雷达系统。故障预防比故障处理更重要（如混沌工程）自动化是应对复杂性的唯一出路（如K8s弹性扩缩）数据驱动的优化才是王道（全链路压测+立体监控）

如果说程序员的世界存在"真香定律"，Cursor的横空出世就是最生动的注脚。最近在GitHub Trending和开发者论坛上，这个神秘工具持续霸榜，引发了一场现象级讨论——资深架构师惊叹"它重构了我的开发流程"，全栈工程师直呼"Debug效率提升300%"，就连硅谷的Tech Lead都在Twitter上发文：“现在招人标准要加上’精通Cursor’这一条了”。官方文档GitHub Copilot 和 Tabnine 是最通用的选择，支持多种编程语言。

看似只是一个关于“轮询还是SSE”的争论，背后却折射出了前后端之间深刻的思维差异。前端和后端的工作本质上是对立的：我们前端关注的是用户体验和表现，而后端更关注的是系统性能和稳定性。这种目标的不同导致了我们在技术选型上的分歧。

反序列化其实就是序列化的逆向过程，如果你看懂了序列化的关键代码，那么看这个过程就不会很难，下面贴出关键代码做出分析这里能够看到会根据反序列对象的具体类型分别做不同的处理，我们当前的对象是 User 对象所以会进入箭头指向的方法。

1、在这个密码重置模块里面，只需输入手机号和手机验证码即可进入修改密码界面，看到这个界面，很多人会尝试暴力破解，但会发现验证码仅能使用一次，爆破成功，但输入的时候已经失效了，怎么办？5、这里，我们利用系统的另一个缺陷，因对手机验证次数没有限制，遍历000000-999999区间，暴力破解手机验证码，成功后返回success。我们注意到返回的是失败，如果返回成功，是什么样子呢？实现一个业务功能，也有着很多不同的实现方式，当业务逻辑考虑不严谨的时候，同一个业务功能模块之下，存在着很多漏洞场景。

肯定是有人修改了这里的业务逻辑才会这样，只有在做产品需求，代码优化的时候才会去改以前的代码。稍微上点复杂度，来写个组件的单测，比如一个用户信息展示组件，叫 UserInfoBlock，支持设置头像的大小，点击名字支持跳转到个人主页，组件代码大致长这样。首先这个测试的收益不高，因为这是一个很简单的组件，五分钟写完，但是写这个测试需要翻倍的时间，因为需要构造数据，之前没有经验不知道要加。是什么，断言这个没用，因为别人改了链接，你的测试也一样会过，应该断言成功的打开了用户主页，比如断言一个必定会存在的文字。

前几天，老板和我们开了个会，提到一个让人深思的事情：越来越多的客户开始询问，能不能把DeepSeek接入他们的系统，帮助他们管理数据、合同和一些文件。那一刻，我突然意识到，AI技术已经不仅仅是个高大上的话题，它正在切实改变着我们工作和生活的方式。客户的需求很简单，但背后却透露着一个深刻的问题——他们希望通过AI来提高效率、减少错误。对于很多传统企业来说，信息的混乱和管理的漏洞已经成为不可忽视的痛点。想象一下，如果这些企业能够通过。

如果说程序员的世界存在"真香定律"，Cursor的横空出世就是最生动的注脚。最近在GitHub Trending和开发者论坛上，这个神秘工具持续霸榜，引发了一场现象级讨论——资深架构师惊叹"它重构了我的开发流程"，全栈工程师直呼"Debug效率提升300%"，就连硅谷的Tech Lead都在Twitter上发文：“现在招人标准要加上’精通Cursor’这一条了”。官方文档GitHub Copilot 和 Tabnine 是最通用的选择，支持多种编程语言。

SQL注入（SQL Injection，简称SQLi）是一种攻击技术，攻击者通过将恶意的SQL代码插入到SQL查询语句中，能够绕过应用程序的安全措施，访问或操作数据库中的敏感信息。SQL注入攻击通常是由于应用程序没有对用户输入进行适当的验证和清理，从而允许恶意输入的SQL代码执行。

前景那是相当哇塞，“骗”你来学？不存在的！这是真心话！黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料黑客必读书单面试题合集因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享1.成长路线图&学习规划要学习一门新的技术，作为新手一定要先学习成长路线图方向不对，努力白费。对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。

事实证明，这个Flappy Bird是一个恶意应用，发送付费短信，并会下载其他恶意的应用。此次检测用到的工具都是免费的工具可以下载到。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」「在看」「赞」**

Xcode 是由苹果公司发布的运行在操作系统Mac OS X上的集成开发工具（IDE），是开发OS X 和 iOS 应用程序的最主流工具。2015年9月14日起，一例Xcode非官方版本恶意代码污染事件逐步被关注，并成为社会热点事件。多数分析者将这一事件称为“XcodeGhost”。攻击者通过对Xcode进行篡改，加入恶意模块，并进行各种传播活动，使大量开发者使用被污染过的版本，建立开发环境。

安全研究人员与恶意攻击者之间的博弈从未停止，安全研究人员通过动态二进制插桩技术实现对恶意代码的行为分析，而从攻击者角度，为增强恶意代码的抗分析能力，反插桩技术应运而生。恶意代码仍然是当今主要的网络威胁之一，而通过对恶意代码的分析能够提取其行为信息，挖掘其潜在的威胁情报。目前的分析技术总体上分为静态分析、动态分析以及混合分析，这其中，动态二进制插桩（Dynamic Binary Instrumentation，DBI）技术具有着广泛的应用，主要是指在二进制程序动态执行时注入插桩代码，从而实现程序分析。

明确测试范围，包括需要评估的网络、系统和应用程序。

那么能怎么办呢——域内爆破，网上很多教程都是直接登录的administrator用户，直接用CS提权成功（上线的时候就是administartor），并没有完整的复现出来从一个最普通的用户上升到系统权限的教程，本篇文章也没有复现出来，复现过程可以参考一下。，查看一下配置文件，注意这里是windows的frp，我用的版本是0.39.1，去github翻一翻历史版本的，新版本可能会出问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

未授权访问漏洞是一个在企业内部非常常见的问题，未授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷，导致其他用户可以直接访问，从而引发重要权限可被操作、数据库、网站目录等敏感信息泄露。演示环境搭建使用vulhub搭建漏洞演示环境参考：https://vulhub.org/#/docs/install-docker/

本文研究了基于态势感知技术的政务云安全防护体系建设，从态势感知、态势理解和态势预测方面解决了海量、多源、异构安全数据采集和处理的难题，构建了基于 SA-GRU 的政务云安全态势神经网络训练模型，实现对安全态势定量评估，设计包括态势感知联合防火墙自动布防、态势理解加强网络安全保障和态势预测建立自适应安全防御 3 个子系统的安全平台，实现对政务云上信息系统安全态势的监测预警、检测、防护及安全能力的全面提升，保证云上系统数据安全，提高了政务云平台服务能力和安全管理人员的工作效率。（1）攻击源和攻击类型实时监测。

对于部署在数据转发路径上的IPS，可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括（按照处理力度）：向管理中心告警；这种系统采用的是积极的防御机制，在正常的网络信息流中检测恶意数据包并阻止其入侵，看在任何损害发生之前自动阻断恶意流量，而不是简单地提出警报，或者在恶意的有效载荷已交付之后再动作。这是IDS和IPS之间的最大差别，如何使用具有非常重要的意义。

Ollama是一个开源的大型语言模型（LLM）服务工具，它的目标就是简化在本地运行大语言模型的过程。不管你有没有GPU，只要你的电脑满足基本配置，就能用Ollama轻松部署像Llama3、Phi4、Gemma2、DeepSeek等超火的大模型。它不仅开源免费，还提供了一个超简单的命令行界面和服务器，让你能够轻松下载、运行和管理各种开源LLM。目前在Github上收获了119K star！

等相关操作，跳出了程序本身的限制目录，然后再利用文件下载功能，使前端下载请求可以下载服务器中的任意文件。文件读取漏洞，就是攻击者通过一些手段绕过应用程序的限制读取到服务器上开发者禁止读取的文件。主要读取的文件是服务器的各种配置文件、文件形式存储的密钥、服务器信息等。/就是下载网站的首页文件，不加下载的就是files目录下的index.php。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」3.查看网站的下载、读取、删除等功能点，修改参数值进行测试。

主要以技术共享、交流等不断赋能自己，赋能安全圈，为网络安全发展贡献自己的微薄之力。对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。

由于上面的疑惑，生成了我错误的认知，导致我以为拿shell会比较麻烦，我的思路是phpmyadmin 日志方式导出一个符合thinkphp路由的shell到相应的控制器下，以绕过路由的检测。不是传统的/，而是点号，传统的文件路径访问与路由冲突了，最终也就没办法访问到uploads目录下的shell。更新：那个有问题的站也拿下了，原因确实是没有文件导致的，至于为什么没有写入成功又是另外一回事了。

文章中的案例或工具仅面向合法授权的企业安全建设行为，如您需要测试内容的可用性，请自行搭建靶机环境，勿用于非法行为。如用于其他用途，由使用者承担全部法律及连带责任，与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断，不存在漏洞利用过程，不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。

春节期间最火爆的新闻是DeepSeek，没有之一，这则消息足以震动全球。它是一款国产的开源大模型，APP登顶苹果中国区和美国区应用商店免费下载排行榜。其实早在去年12月份就发布了v3模型，但当时并不火，直到今年1月份发布了对标OpenAI-o1的推理模型r1，短短几天时间火爆全球。由于免费开源，且训练成本大幅下降的情况下达到差不多的效果，这在AI行业引发的广泛的关注和讨论，市场对以英伟达为首的「大力出奇迹」的训练方式产生了质疑，认为通过对模型的优化可以减少对高端芯片的需求，英伟达股价也因此暴跌。

DeepSeek（深度求索）是一款由杭州深度求索人工智能基础技术研究有限公司开发的人工智能大模型，能够理解自然语言及生成高质量文本内容。DeepSeek 作为一款开源且性能强大的大语言模型，支持灵活的本地部署方案，用户可以在本地环境中高效运行模型，无需支付在线 API 费用。模型部署完成后无需联网也可流畅运行，避免“服务器繁忙”等问题。软件：‌‌‌‌‌‌DeepSeek语言：简体中文大小：892.5M安装环境：Windows7及以上64位操作系统硬件要求：

参会嘉宾（右）在 2024 世界计算大会体验 AI 视频生成（2024 年 9 月 24 日摄） 陈振海摄 / 本刊大模型应该开源还是闭源？开闭源对应两种软件开发模式——开源指开放源代码，将源代码公开发布并允许任何人查看、修改和使用；闭源则不公开源代码，只对外发布编译后的软件。2022年底ChatGPT横空出世，大模型开闭源路线之争如影随形。今年，国内大模型应用加速落地，开闭源争论愈发激烈。4月，百度创始人李彦宏公开表示“开源模型会越来越落后”；

*关于监控易：**监控易是美信时代自研的分布式、一体化数据采集与洞察管理平台，采用多TS架构，集中统一实现IT、动环、智能物联网等智能设备和软硬件系统的自动采集、监测、巡检、告警及展现，提供设备管理、网络管理、业务管理、视频管理、CMDB、ITSM、运维管理、机房管理、移动运维、云运维、3D可视化等核心功能，支持各系统间的数据关联共享，从全局视角把控系统运行态势。**通过流量监控工具，可视化的分析流量变化，是确保企业网络流畅、流量不被滥用的关键，同时也是企业优化流量配置、提升企业运营效率的重要依据。

网络设备作为Netflow的客户端，主动向Netflow服务端上报流量采样数据，服务端对流量数据进行解析，提取二层MAC，三层IP，四层协议类型和端口号信息，然后对这些信息进行分类统计，可获得网络的通信流量和资源使用情况。随着企业数字化转型、算力网络等趋势发展，业务SLA要求越来越高，业务类型也逐渐丰富及多样，这对IP网络业务流量监控及分析提出了更高的要求，网络运维需要知道网络流量从哪里来，到哪里去，流量有多大等信息，以保障网络的稳定性。比如，黑盒子里面的数据都在干什么，谁发出的，到哪里去，流量有多大？

part1将二进制空间安全设为"星标⭐️"第一时间收到文章更新摘要Pwncat是一款功能丰富类似Netcat的工具,专为渗透测试人员和红队人员设计, 该工具的亮点主要表现在具有语法突出显示和命令完成功能的交互式Shell;具备二次开发的接口, 可扩展性强;该工具支持加密通信通道, 确保交互时的机密性, 相比较Netcat, Pwncat更能适应在复杂网络环境下的渗透场景。本篇文章将实验 Pwncat在Linux和Windows目标机器之间的用法。

渗透测试中，突破内网环境是一项极具挑战性的任务，尤其是当目标主机无法直接访问外部网络时。这种情况下，攻击者需要利用各种技巧和工具，在不直接出网的情况下进行内网渗透。本文将详细介绍20种常见的突破内网不出网的技巧，供参考。

与年初融资火热的景象形成鲜明对比，大模型似乎正在步入寒冬。然而在大洋彼岸，一家名为AppLovin的广告公司用大模型上演了华尔街新奇迹——短短一年，股价飙升800%，市值突破千亿美元大关，成为华尔街炙手可热的新宠。这支营销黑马，不仅通过AI生成广告创意素材，还连接广告主与全球15亿手机设备、6万款移动应用，通过AI广告引擎模型，实现更精准的广告投放。自大模型诞生以来，行业对于它能否商业化落地的争论从未中断。

根据中国新一代人工智能发展战略研究院发布的报告显示，目前全国已有3k＋家人工智能企业，国内的AI大模型应该也近在200+了！！！（原图图片过长了，这里就先放了20个）面对如此众多的AI大模型，大家往往会产生疑问：究竟哪一个AI大模型最有前途？我觉得并不需要逐个进行比较和评估。因为一般来说，大模型更具通用性，而用户的需求往往是更专注和具体的。通用大模型有时难以完全满足用户的特定需求，相比之下，一些国内垂直AI应用产品可能更能够贴近用户需求并提供更优质的解决方案。

SQLMap。

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号夜组安全及作者不为此承担任何责任，一旦造成后果请自行承担！–delay: 设定此选项参数为n的时候，crack和probe模块强制设为单线程，在线程运行之间休眠n秒，用于绕过EDR。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。

远程扫描SmbGhost漏洞，漏洞编号CVE-2020-0796,考虑到实际效果，暂未集成到CS菜单，可通过命令行使用。在被控主机上使用TZ之前，请先初始化TZ,会将TZ文件上传到客户端c:\windows\temp\下，方便后期使用。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」TZ是一个由golang开发跨全平台，集主机发现，漏洞扫描，漏洞利用为一体的内网渗透工具。Netbios扫描，可用于探测存活主机，获取存活主机名，隐蔽性强。

这些是JavaScript的基本用法，它们可以帮助你添加交互性、验证表单、创建动画等到网页中。认识一个人就是开了一扇窗户，就能看到不一样的东西，听到不一样的声音，能让你思考，觉悟，这已经够了。其他还有很多，比如机会，帮助，我不确定。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」HTML是网页的构建块之一，它用标签来定义网页上的不同元素，如文本、图像、链接和表格。，希望用身边的人，身边的事，让我们少走一些弯路，一点点就好。

AJAX 全称为“Asynchronous JavaScript and XML”（异步JavaScript和XML），是一种创建交互式网页应用的网页开发技术。根据Ajax提出者Jesse James Garrett建议，AJAX：使用XHTML+CSS来表示信息；使用JavaScript操作DOM（Document Object Model）进行动态显示及交互；使用XML和XSLT进行数据交换及相关操作；使用XMLHttpRequest对象与Web服务器进行异步数据交换；

作者：一像素Web前端技术由html、css和javascript三大部分构成，是一个庞大而复杂的技术体系，其复杂程度不低于任何一门后端语言。而我们在学习它的时候往往是先从某一个点切入，然后不断地接触和学习新的知识点，因此对于初学者很难理清楚整个体系的脉络结构。本文将对Web前端知识体系进行简单的梳理，对应的每个知识点点到为止，不作详细介绍。目的是帮助大家审查自己的知识结构是否完善，如有遗漏或不正确的地方，希望共勉。