Python_0011的博客

引用计数：给一个变量赋值引用类型，则该对象的引用次数+1，如果这个变量变成了其他值，那么该对象的引用次数-1，垃圾回收器会回收引用次数为0的对象。但是当对象循环引用时，会导致引用次数永远无法归零，造成内存无法释放。标记清除：垃圾收集器先给内存中所有对象加上标记，然后从根节点开始遍历，去掉被引用的对象和运行环境中对象的标记，剩下的被标记的对象就是无法访问的等待回收的对象。当元素的尺寸或者位置发生了变化，就需要重新计算渲染树，这就是回流DOM元素的几何属性()发生变化时会触发回流。

在父元素设置，子元素受弹性盒影响，默认排成一行，如果超出一行，按比例压缩 flex:1;子元素设置，设置子元素如何分配父元素的空间，flex:1,子元素宽度占满整个父元素align-items:center 定义子元素在父容器中的对齐方式，center 垂直居中justify-content:center 设置子元素在父元素中居中，前提是子元素没有把父元素占满，让子元素水平居中。

是 ES2021 引入的新方法。语义化是指根据内容使用合适的标签，就是用标签做正确的事 对机器友好，文字表现力丰富，有利于搜索引擎爬虫爬取有效信息，有利于seo(搜索引擎优化)，支持读屏软件，可以根据文章自动生成目录。作用域链确保了函数可以访问其自身作用域以及包含它的所有外部作用域中的变量，但外部作用域无法访问函数内部的变量，体现了JavaScript的词法作用域特性。，它指向另一个对象，即该对象的原型，用于存放所有实例共享的属性和方法，当一个函数作为构造函数创建实例时，这个实例的内部将有一个隐式链接(

RCE漏洞：攻击者直接向后台服务器远程注入操作系统命令或者代码。主要分为远程代码执⾏和远程命令执行。本章主要说的是命令执行漏洞（remote command execute）。remote code execute（远程代码执⾏）remote command execute （远程命令执⾏）

优化方向核心措施布局与数据绑定简化布局层级、使用 DiffUtil 局部更新快速滑动处理滑动时暂停图片加载、禁用非必要动画图片加载优化Glide/Coil + 压缩缓存策略复用效率提升共享视图池、预加载 ViewHolder通过布局简化、数据差异更新、滑动预加载、图片加载优化等综合手段，可显著提升 RecyclerView 的性能。布局层级扁平化：减少测量和布局时间。DiffUtil 替代全量刷新：精准更新变化项。滑动状态感知加载：平衡流畅度与用户体验。合理使用缓存。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。相比原始HTML5 video标签，此组件解决了各平台兼容性问题并提供了更友好的用户体验，适合中大型Web应用中的视频播放需求。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。

性能优化，一个掣肘用户体验的关键模块。它没有固定的标准定义或唯一的解决方案。但是我们从整个项目的开发-部署-用户体验的整个过程中，总能摸到很多有普适性的规范或者优化理念。我们的目的是什么？优化啥？更快的加载和响应速度、更稳定的功能表现、更简洁的代码与架构设计、更好用更人性化。说人话是：性能优化应当是让用户能感觉到爽的，并且产生用户粘性的所有方式的总称好吧，也没有那么人话…那知道了我们性能优化的目的，我们要如何搞，才可以达到这个目的呢？针对网络层面的优化，针对渲染层面的优化。

我们需要对存活的站点进行查看，最严谨的做法是一一查看，找寻其中的漏洞，同时这样也最消磨我们这种小白的耐心，这里直接看Finger扫描输出文件里面的title，看是否带着 “系统”、“平台”、“登录”等字眼，这些站点是最好出漏洞的地方，因为他们往往存在登录框，可测的东西就多了。登录typ123账号，测试内部功能点，都测了一下，没有测出所以然，突然我想起之前看到的文章，抓登录请求返回包，说干就干，果然，有不一样的地方。收集到的子域名还是蛮多的，主要是子域名直接就可以复制到txt文件，方便后续域名探针。

顾名思义，越权漏洞就是由于设计上的缺陷对应用程序的权限做的不好。通俗点来说，就是用户A可以通过某种方式查看到用户B的个人信息，或者可以查看管理员C的一些相关信息。

验证码（CAPTCHA）是一种用于区分人类用户和机器人的测试，通常以图像、音频或文字形式呈现给用户，要求用户根据提示进行识别或操作。验证码的目的是防止自动化程序（如恶意机器人）对系统进行恶意攻击或滥用。验证码复用指的是在验证码在生成和被使用后，网站后端没有及时主动销毁或更新该验证码，导致该验证码可以被重复使用。恶意用户可以将重复利用同一验证码，绕过验证码的验证机制，直接访问后续业务。验证码复用漏洞是一种安全漏洞，通常出现在需要验证码验证的系统中。

MyBatis-Plus 提供了apply方法，用于在查询条件中直接拼接自定义的 SQL 片段。然而，直接拼接 SQL 片段可能会导致风险。为了避免 SQL 注入，需要谨慎处理用户输入，并使用参数化查询或 MyBatis-Plus 提供的安全方法。

场景安全做法高风险做法（避免！执行 SQL 查询使用参数化拼接字符串生成 SQL动态表名/列名白名单校验合法值直接拼接用户输入输入验证正则表达式白名单过滤仅在前端验证或不做验证错误信息处理记录日志，返回通用错误提示返回详细数据库错误信息ORM 框架优先使用 Hibernate/JPA 的 Criteria 或 HQL手动拼接 HQL 或 JPQL关键点绝不信任用户输入：所有外部输入（包括 HTTP 请求参数、Cookie、Headers）均需验证和转义。代码审查。

首先我们要自定义一个方法，因为Mysql 和 Oracle 的批量插入样式不一样，所以理论上要写两个方法，但实际上MybatisPlus 针对 Mysql 已经有了一个内置方法 InsertBatchSomeColumn，所以我们只需要针对 Oracle 自定义方法即可 继承自·AbstractMethod// oracle 批量插入的格式// 字段筛选条件@Setter@Override//表包含主键处理逻辑，如果不包含主键当普通字段处理/* 自增主键 */

URL。

结束了，动手试试看，有什么建议，欢迎留言交流。希望这篇文章不仅能够帮助你掌握AI赋能数据采集的基本原理，还能激发你的灵感，在未来的工作中更好地利用AI技术解决问题。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」「在看」

台下训练，准备好上台演练。测试学生对打代码过程的熟练度，操作限时5分钟。以5分钟截止时，代码完成最后抵达节点为最终记录。考核设备:讲台教师机。学生练习:个人电脑。应用场景:高等院校技能考核最终成绩(100分) = 上机操作考核+ 平时成绩 *活跃系数 (最高40分)

代码运行环境：全部基于HarmonyOs NEXTAPI：12什么是属性动画呢？字面之义就是让属性产生动画，产生某些可执行的动作，使其和原有的UI形态发生了根本的变化，当然了，其本身也类似这层意思；属性动画中，我们需要知道，并不是所有的属性都可以执行动画操作，比如一个组件，设置焦点控制，禁用控制，改变的只是动作状态，而本身的UI形态并没有发生变化，所以并不能执行动画，也就不属于动画属性。

公司内部的文档系统只能在办公室访问，家里的NAS存储着珍贵数据却无法远程调用，甚至自己搭建的AI模型只能局限在本地使用……通过配置cpolar穿透规则，我们只需将本地服务端口映射到公网地址，并设置访问权限（如仅限企业邮箱登录），即可安全地在任何地点检索资料，甚至生成个性化推荐。内网穿透与AI搜索的结合，本质上是通过技术手段将“本地资源”转化为“云端能力”，而无需牺牲数据主权或承担高昂云服务成本。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

定义：指组织在互联网上公开可访问的数字化资产和服务，如服务器、开放端口、API、网站、云服务等。暴露面指网络系统中对外界开放的可见部分，包括公开的接口、网络端口、服务或应用程序等。例如Web服务、API、数据库端口等，这些资源可直接被外部访问或识别‌。暴露面的大小直接影响潜在攻击机会‌。核心特点可见性：能被外部扫描或探测到（如通过IP、域名、端口）。入口点：是外部与内部系统交互的桥梁（如登录页面、文件上传接口）。示例公网IP地址、开放的SSH端口（22）、公开的Web应用、未加密的HTTP服务。

Log4Shell，又名CVE-2021-44228，是Apache Log4j 2日志库中的一个严重漏洞，它允许攻击者远程执行代码，完全控制你的服务器。形象地说，如果你的服务器是一个家，Log4j是记录访客信息的管家，而Log4Shell漏洞就像是管家被人收买，把坏人直接领进门，让坏人可以在你家里为所欲为。简单来说，就是Log4j在记录日志的时候，会解析一些特殊格式的字符串，并根据字符串的内容去外部服务器上获取数据。你可以把它想象成水龙头，几乎每家每户都有，一旦水龙头出了问题，影响的是千家万户。

15、FUZZ，可自定义规则，在参数后面、URL后面、URL根路径、URL问号后面插入payload、或自定义HTTP头，支持POST(在抓包重放表格选择右键即可)。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。发送目标可以使用ip:port的格式放入探测好的目标，也可以放入ip段或ip列表，并指定一个端口，批量发送，发送失败的会自动跳过。7、目录扫描，可自行替换目录字典，路径为dict目录下的asp.txt、php.txt、aspx.txt、jsp.txt。

在CC2 中，使用的将不是前面的 commons-collections 依赖了，而是 commons-collections4 这个依赖，并且也采取了一下新的利用类PriorityQueue 和 TransformingComparator。在上面的poc 中可能大家觉得commons-collections4和commons-collections 没什么区别啊，新用到的这两个类在commons-collections 中也有啊，为什么不能直接用 commons-collections 来构造poc。

相互交织信息安全、网络安全和数据安全并不是孤立的个体，而是相互交织、相互影响的。它们共同构成了信息安全领域的整体框架。共同目标三者的共同目标是保护信息的机密性、完整性、可用性和可控性，防止信息被未经授权的访问、使用、披露、破坏或修改。技术手段互补在实际应用中，信息安全、网络安全和数据安全的技术手段往往是相互补充的。例如，加密技术既可以用于信息安全中的信息保护，也可以用于网络安全和数据安全中的数据保护。黑客/网络安全学习包资料目录成长路线图&学习规划配套视频教程SRC&黑客文籍护网行动资料。

Linux 运维进阶之路，咱给它分成四个阶段：新手村、进阶副本、高手进阶、宗师之路。肝了半年，我整理出了这篇云计算学习路线（新手必备，从入门到精通）刚开始，你得把 Linux 的学习路线整明白。记住，学习这事儿，得一步一个脚印，Linux 也不例外。新手村任务：等你把 Linux 的原理和基础知识摸透了，就该深入研究上层的应用和服务了。说到服务，肯定少不了网络知识，这块儿你得多花点心思。能掌握到这里，你已经能处理很多工作了，可以去面试高级运维工程师，薪资大概能达到 12-18K 左右。黑客/网络安全学习包

本文档规定了中间件服务器应当遵循的安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行中间件的安全合规性检查和配置。

建议将公众号点上星标✨，这样每次公众号更新文章，就会第一时间出现在你的订阅号列表~渗透测试中，突破内网环境是一项极具挑战性的任务，尤其是当目标主机无法直接访问外部网络时。这种情况下，攻击者需要利用各种技巧和工具，在不直接出网的情况下进行内网渗透。本文将详细介绍20种常见的突破内网不出网的技巧，供参考。

后渗透拿到权限后，不管是操作系统提权、数据库提权，或是横向执行命令、域渗透模块等，各种功能应有尽有，一个工具解决大量问题，所以定义**单兵综合作战工具。系统漏洞和office漏洞不一样，出补丁，系统更新或杀软也会补上，但是office用户不打补丁，杀软也不是针对漏洞点拦截，旧洞只要做好免杀，就能用，所以不能一概而论，此漏洞对有点安全意识的人可能没用，因为至少它们知道不熟悉的后缀不要点，但对于没有安全意识的，看图标无害，杀软也不杀，他们就点了，所以成功率高不高，取决于目标，如果确定目标意识差，可以尝试。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取。木马免杀问题与防御********必知必会。掌握Redis未授权访问漏洞。

第一个CVE-2024-36401（GeoServer GetPropertyValue RCE）GeoServer 是 OpenGIS Web 服务器规范的 J2EE 实现，利用 GeoServer 可以方便的发布地图数据，允许用户对特征数据进行更新、删除、插入操作，在GeoServer 2.25.1， 2.24.3， 2.23.5版本及以前，未登录的任意用户可以通过构造恶意OGC请求，在默认安装的服务器中执行XPath表达式，进而利用执行Apache Commons Jxpath提供的功能执行任意代码。

这些漏洞几乎都是RCE（绝对高价值），100%有PoC及微步捕获到攻击行为（危害极大），漏洞80%来自微步漏洞奖励计划（绝对是认真的），与市面上已发布漏洞绝大多数都不重复，强烈建议各位师傅提前排查。另外，攻防演练期间，微步同样提供漏洞验真报告，对每一条漏洞进行人工验证与复现，并将所有验真漏洞汇总成报告（下方为2023年攻防演练期间，微步提供的攻防验真报告截图）。大白也帮大家准备了详细的学习成长路线图。这也是耗费了大白近四个月的时间，吐血整理，文章非常非常长，觉得有用的话，希望粉丝朋友帮忙点个**「分享」

动态图优先的深度学习框架，以灵活性和研究友好性著称。动态计算图（即时执行）。张量计算、自动求导、分布式训练。与Python深度集成，调试便捷。支持GPU加速和混合精度训练。生产部署需依赖TorchScript/ONNX。训练速度较静态图框架（如TensorFlow）略慢。：⭐️⭐️⭐️⭐️⭐️（适合快速原型开发）。：学术研究、模型实验、小规模训练。。：与Hugging Face、ONNX、TensorBoard集成，社区庞大。：高性能AI推理服务器，支持多框架、多硬件部署。动态批处理、并发模型执行。

Agent 框架代表着人工智能系统设计模式的重大转变。与依赖静态、预定义工作流程的传统 AI 应用程序不同，Agent 框架引入了动态自适应系统，该系统具备自主感知、推理和行动的能力。这些框架可以把复杂任务拆解成多个小子任务，交给专门的 Agent 协作完成，以实现更宏大的目标。借助大型语言模型（LLM），Agent 框架能够管理工作流程、做出决策，还能无缝集成各种工具，这使得它成为动态决策、实时问题解决等高级应用的理想之选。

XXE(XML External Entity Injection)也就是XML外部实体注入，XXE漏洞发生在应用程序解析XML输入时，XML文件的解析依赖libxml 库，而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用，服务端解析用户提交的XML文件时，未对XML文件引用的外部实体（含外部一般实体和外部参数实体）做合适的处理，并且实体的URL支持 file:// 和 ftp:// 等协议，导致可加载恶意外部文件 和 代码，造成。在学习XXE漏洞之前，我们先了解下XML。

郑重声明：文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！前言没错又是我，基于没有摸过就要玩一遍的原则，有了接下来的这篇文章，主要是参考师傅们的讲解来复现的XXE是什么XXE(XML External Entity Injection) 全称为 XML 外部实体注入，从名字就能看出来，这是一个注入漏洞，注入的是什么？XML外部实体。(看到这里肯定有人要说：你这不是在废话)，固然，其实我这里废话只是想强调我们的利用点是。

我创建了一个 js 代码并将其上传到我的网站，然后使用 mango”> 作为payload该js文件包含什么？req.send();} };</script>我现在可以使用CSRF+XSS漏洞完全控制帐户。黑客/网络安全学习路线对于从来没有接触过黑客/网络安全的同学，目前网络安全、信息安全也是计算机大学生毕业薪资相对较高的学科。大白也帮大家准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

（信安之路新晋作者）CSRF，也称 XSRF，即跨站请求伪造攻击，与 XSS 相似，但与 XSS 相比更难防范，是一种广泛存在于网站中的安全漏洞，经常与 XSS 一起配合攻击。

欢迎参加我们的Java代码审计课程！本课程旨在培养学员深入了解和实践Java应用程序安全性的技能，通过系统学习和实际案例分析，使学员能够识别并纠正潜在的安全漏洞。

圈圈：wljsghq在当今这个数字化时代，网络安全已成为企业和个人必须面对的重要课题。随着网络攻击手段的不断演进，传统的安全防护措施已显得力不从心。在这样的背景下，入侵检测系统（IDS）和入侵防御系统（IPS）应运而生，成为网络安全领域中的两大守护者。它们看似相似，却在功能和应用上有着天壤之别。本文将深入探讨IDS与IPS的区别，带您揭开这两位网络安全守护者的神秘面纱。

实战化态势感知与安全运营解决方案的整体架构自下而上分别是：日志采集、网络流量传感、日志存储和检索、资产中心、威胁检测、威胁分析、响应中心、安全管理、仪表板与报表、态势可视化、系统管理和安全运营服务。态势感知系统会从多个来源收集数据，包括网络设备（如路由器、防火墙）的日志、服务器的访问记录、入侵检测系统/入侵防御系统（IDS/IPS）的告警信息、终端设备（如计算机、移动设备）的安全状态等。以直观的方式（如可视化仪表盘）向安全管理人员呈现网络安全的当前状态，包括威胁的分布、受攻击的区域、安全漏洞的情况等。

前期已发布IT建设之路（专业技术篇）之“企业IT管理”、“IT技术架构”，目前正在发布的章节是“信息安全”，后续还会有“应用架构”、“数据架构”。网络安全产品，是如何进行防御的？本期介绍入侵防御系统IPS、入侵检测系统IDS、主机入侵检测系统HIDS。