- 博客(282)
- 资源 (74)
- 收藏
- 关注
RSS订阅原创 如何为不可靠的大语言模型注入确定性
大语言模型(LLM)本质上具有非确定性特征。本文将探讨如何为生成式AI工作流注入确定性元素。随着生成式AI技术日益融入软件产品和业务流程,这些系统和流程也开始呈现出LLM的特性:可靠性降低、非确定性增强,偶尔会出现错误。LLM从根本上说是非确定性的,这意味着相同的输入可能产生不同的输出。如果使用推理模型和AI代理,早期错误可能会在后续步骤中被放大。"任何概率模型都难免会出错,"LinearB首席运营官Dan Lines表示,“缺乏完善世界模型所导致的不一致性,将始终存在于我们使用的系统和推理过程中。
2025-08-04 15:15:27
319
原创 GitLab项目导入远程代码执行漏洞分析(CVE-2022-2185)
漏洞存在于GitLab的项目导入功能中,CVSS评分高达9.9分。GitLab使用Sidekiq作为工作队列处理繁重任务,Web控制器将作业推送到工作队列。更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)文章最后提供了漏洞验证视频演示。
2025-08-04 14:10:15
191
原创 Mac系统编程入门指南:从环境配置到高效编码
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)安装后需更新PATH环境变量使brew安装的工具优先执行。专业提示:所有开发工具应通过。方式安装以确保版本统一管理。
2025-08-04 12:11:02
70
原创 22个软件工程师面试问题(附答案)——技术解析与应对策略
栈是采用LIFO(后进先出)原则的数据结构,主要操作是push(压栈)和pop(弹栈),区别于FIFO(先进先出)的队列。模块是可被调用的独立代码块,类似方法但可跨系统共享。模块化编程强调将功能拆分为独立模块,使代码更易理解和维护。确定项目目标(考虑预算等约束)→明确交付物→列出包含/排除的任务→划定项目范围边界。
2025-08-04 11:05:16
236
原创 监督学习与无监督学习:机器学习技术对比与应用实例
人工智能已超越科幻范畴,现代机器学习算法能实现商品推荐、消费者行为分析、欺诈识别甚至销售预测。全球市场规模突破600亿美元,印证了智能系统对企业决策的关键价值。
2025-08-04 09:37:11
105
原创 AppAuth-iOS - OAuth 和 OpenID Connect 客户端 SDK
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)AppAuth-iOS 是一个客户端 SDK,用于与。中的最佳实践,包括在 iOS 上使用。
2025-08-04 06:10:28
186
原创 Ansible 零基础到精通实战指南
Ansible是一款开源的IT自动化引擎,可实现配置管理、应用部署、服务编排等运维自动化操作。本教程通过14天的系统学习路径,从基础概念到企业级实战项目,帮助开发者掌握Ansible的核心功能与最佳实践。
2025-08-03 21:40:33
98
原创 保护通信安全:端到端加密实战指南
实施这些措施将提高攻击者获取你通信数据的成本。虽然需要持续保持警惕,但随着越来越多人转向安全通信工具,转换过程会变得更容易。更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)公众号二维码。
2025-08-03 19:21:16
153
原创 攻破天网系统——Real World CTF (2022) 解题实录
这份技术报告将分享我在Real World CTF 2022中破解Web挑战的一种可行方案。所有挑战都基于真实世界应用构建,由于疫情影响,第四届Real World CTF采用线上模式。从挑战描述中,我判断存在SQL注入漏洞。比赛期间这个挑战让我备受煎熬,但在与两位交流后,我以全新视角重新尝试并最终攻克。附:Infosec Writeups首届虚拟会议IWCon2022正在招募,汇聚16位顶尖安全专家,详情见。:薛定谔级(如同既死又活的假想猫,这个挑战可能"简单到发狂")(代码作者:xl00t)
2025-08-03 17:52:28
187
原创 Animate.css - 轻松实现网页动画效果
Animate.css 是一个"即插即用"的CSS动画库,为网页开发者提供丰富的预设动画效果。通过简单的类名添加,即可实现元素淡入、弹跳、滑动等60+种动画效果。项目遵循Hippocratic License 2.1许可,核心目标是让网页动画实现变得简单高效。
2025-08-03 16:30:45
145
原创 从429到200:利用X-Overwriting头实现速率限制绕过与漏洞赏金
Akwaaba!各位。在本报告中,我将展示如何绕过某组织匆忙实施的速率限制机制。如果你对我的其他技术文章感兴趣,可以查看我之前关于如何绕过Google验证码实现CSRF和XSS链式攻击的文章,或者关于Android Intent重定向攻击的文章。
2025-08-03 15:15:08
417
原创 curl -H参数空格前缀导致代理模式下头部注入漏洞分析
安全研究人员发现curl工具在使用格式添加HTTP头部时,若配合--proxy参数使用,会导致该头部被注入到前一个HTTP头部中的异常行为。该问题在macOS Sequoia 15.1系统上的curl 8.11.0版本中复现成功。
2025-08-03 12:13:09
249
原创 Lila项目路径遍历漏洞分析:如何通过../绕过目录限制访问敏感文件
在Lila项目中发现存在路径遍历漏洞,攻击者可通过操纵用户输入突破目录限制,访问服务器上的任意文件。该漏洞可能导致应用源代码、配置文件等敏感信息泄露。
2025-08-03 09:37:10
188
原创 程序员理想显示器配置方案(已解决!)
怎样的屏幕配置才能打造最优编程工作站?最大化屏幕空间的承诺在于:如果能同时显示编程项目的所有相关部分,你将节省在不同工作区切换所需的时间和脑力消耗——从而成为效率更高的程序员。那么最佳平衡点在哪里?
2025-08-03 08:10:29
206
原创 后量子密码学的真正价值:超越量子威胁的密码革新
你可能最近经常听到后量子(PQ)密码学的讨论,在尚未见到实用量子计算机的今天,人们很容易质疑其必要性。但即使量子计算机永不问世,新的后量子标准也比传统算法更安全、更具弹性且更灵活。
2025-08-03 06:09:56
609
原创 在AI技术快速实现创意的时代,挖掘新需求成为关键——某知名Windows依赖分析工具需求探索
该工具是一个现代化的开源依赖分析工具,旨在帮助Windows开发者解决DLL加载依赖问题。它是经典工具Dependency Walker的重写版本,支持解析PE文件的导入、导出、延迟加载依赖等,并提供GUI和CLI两种使用方式。更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
2025-08-02 19:19:54
265
原创 Bookstore靶机实战:从Web枚举到REST API模糊测试的完整攻破
sC-p-研究发现Werkzeug 0.14.1存在可能的RCE漏洞(参考Rapid7漏洞库)。
2025-08-02 17:25:55
283
原创 人工智能增强渗透测试方法论(第二部分):Copilot实战应用
作者首次将AI应用于渗透测试是通过生成命令注入载荷:收集SecLists等来源的OOB(带外)注入载荷后,发现需要将不可控域名替换为Burp Collaborator URI。该流程使得每次测试只需更新Collaborator URI文件即可批量生成新载荷,显著提升Intruder工具的使用效率。文章强调在实际渗透测试中应使用本地化LLM以保护客户数据,并以Juice Shop这类故意存在漏洞的应用作为安全研究范例。更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
2025-08-02 14:10:50
239
原创 100天掌握YARA:如何编写.NET代码特征规则
如果YARA规则仅依赖字符串匹配来检测.NET程序集,其能力将非常有限。我们将探索更多检测机会,包括IL代码、方法签名定义和特定自定义属性。了解底层.NET元数据结构、令牌和流有助于构建更精确高效的签名,即使相关恶意软件样本可能不可用。
2025-08-02 11:05:42
680
原创 ECDSA安全漏洞深度解析:从非ce泄露到密钥恢复实战
本文证明ECDSA的安全性极度依赖nonce的随机性,任何微小的偏差都可能导致整个签名体系崩溃。ECDSA是基于椭圆曲线群的数字签名算法(DSA)变种。更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
2025-08-02 09:10:04
485
原创 Awesome C - 精选C语言资源大全
只接受开源项目(符合OSD定义)* 不接受C++相关内容* 优先处理标记为'help wanted'的issue* 可贡献优质资源或移除失效/低质量内容更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)公众号二维码。
2025-08-01 21:40:23
213
原创 Kubernetes Autoscaler 集群自动扩缩容工具
项目支持多种云服务提供商,包括 AWS、Azure、GCP 等,并已正式发布 GA 版本。
2025-08-01 19:21:12
248
原创 在Windows上运行虚拟机的开源解决方案:QEMU、MSYS2和Emacs
渗透测试工程师 | 开发者 | 纯GNU/Linux手机爱好者作为测试人员,我所有的工作都在虚拟机(VM)中进行。最近遇到一个需求:需要在Windows PC上运行虚拟机,但既不想注册Broadcom账户,也不想使用VirtualBox。于是选择了开源解决方案QEMU(快速模拟器),它能直接运行qcow2格式的虚拟机镜像。
2025-08-01 17:26:13
331
原创 Authentik:开源身份认证与访问管理平台
Authentik是一个开源的灵活身份提供商(Identity Provider),强调多功能性和可扩展性,支持广泛的认证协议。该项目可作为自托管的身份认证解决方案,替代商业产品如Okta、Auth0、Microsoft Entra ID等。更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
2025-08-01 16:27:34
214
原创 紧急救火与战略开发:软件工程中的关键抉择
最近我向工程师们阐述的一个观点,我认为值得更广泛地分享。在进行工程工作时,你会遇到不同类型的任务。有些任务是紧急或短期工作,我们有时称之为"救火",特别是当工作涉及处理紧急故障或刻不容缓的需求时。其他任务则具有战略性质。你收集了用户需求信息,设计了解决方案,并有条不紊地朝着目标推进。
2025-08-01 14:09:59
394
原创 深度解析SUCURI 2018年被黑网站趋势报告:CMS漏洞与恶意软件家族分析
报告显示,56%的被黑网站核心平台已打最新补丁。更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
2025-08-01 11:05:15
895
原创 MoveIt Transfer漏洞引发更多受害者数据泄露,联邦机构也未能幸免
这个SQL注入漏洞曝光后,已引发多轮数据泄露事件,受害者包括私营企业、多个美国州政府以及CISA上周四确认的"数家"联邦机构。CISA局长Jen Easterly在媒体电话会议中表示,该机构正为受影响部门提供支持,但强调"尚未发现对联邦民事行政部门企业的重大影响"。本期播客探讨了MoveIt Transfer漏洞的最新进展、与其他勒索攻击活动的对比,以及该威胁事件中可能存在的积极因素。更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
2025-08-01 09:10:28
100
原创 ARM物联网漏洞利用实验室在Blackhat USA 2017首次亮相
在Blackhat教授x86二进制漏洞利用十年后,我们很高兴在Blackhat USA 2017上首次推出ARM物联网漏洞利用实验室!我们将连续教授两门课程。周末课程“ARM物联网漏洞利用实验室:入门”是ARM漏洞开发的入门课程,涵盖ARM汇编、从零开始编写ARM shellcode,以及针对运行在ARM系统上的Linux镜像的远程漏洞利用开发。
2025-08-01 08:10:38
683
原创 SILENTTRINITY最新部署指南:现代C2框架快速搭建
SILENTTRINITY(ST)是BHIS最喜爱的C2工具之一,具备多用户协作、现代化架构和多服务器支持特性。近期代码经历了重大更新,原有部署指南已不再适用。
2025-08-01 06:10:14
303
原创 微软2023年9月安全更新:关键漏洞修复与技术指南
2023年9月12日(美国时间),微软发布月度安全更新,修复影响Microsoft产品的安全漏洞。受影响用户应尽快安装更新,多数产品默认启用自动更新功能。9月无新增Exchange Server补丁,相关漏洞已通过8月更新修复。更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)下一次安全更新计划于2023年10月10日发布,详见。本次更新涉及以下产品/组件(完整列表见。
2025-07-31 23:36:25
409
原创 利用SEHOP防御结构化异常处理程序(SEH)覆盖攻击
微软安全工程中心的一项职责是研究纵深防御技术,使攻击者更难成功利用软件漏洞。这些技术通常被称为漏洞利用缓解措施,已通过/GS、数据执行保护(DEP)和地址空间布局随机化(ASLR)等功能交付给用户。在Windows Server 2008和Windows Vista SP1中,微软发布了对新平台缓解措施"结构化异常处理程序覆盖保护(SEHOP)"的支持。
2025-07-31 22:23:08
405
原创 MSHTML宿主安全FAQ(上篇):深度解析浏览器引擎安全风险与防护策略
MSHTML(又称Trident)是Internet Explorer的浏览器渲染引擎。它不仅是网页浏览的核心组件,还被广泛应用于Windows系统和第三方应用的富UI展示。例如,Windows XP的"添加/删除程序"控制面板就是基于MSHTML实现的。但宿主MSHTML时必须特别注意安全防护,本FAQ将帮助您规避常见的宿主配置错误。
2025-07-31 20:10:21
734
原创 Detectify如何助力企业实现NIS 2和DORA合规要求
面对复杂多变的合规环境,许多企业面临选择合适安全工具的挑战。本文将剖析欧盟企业如何应对NIS 2指令和DORA法规,并阐述Detectify平台的关键技术支撑。
2025-07-31 19:20:45
582
原创 CVRF API 3.0升级公告:性能与安全的双重提升
在微软安全响应中心,我们致力于持续改进服务的安全性和性能,以满足客户不断变化的需求。我们很高兴地宣布推出最新版本的通用漏洞报告(CVRF)API。此更新在安全性和性能方面均有所改进,且无需更改现有的调用方法。虽然更新PowerShell模块是可选的,但它可以提供一些额外的性能优势。
2025-07-31 18:10:20
314
原创 深入解析UserAssist取证工件:结构解析与取证应用
作为全球应急响应团队(GERT)成员,UserAssist是我们日常调查中至关重要的取证工件。该注册表项记录GUI程序执行信息,但现有研究存在数据解读、日志触发条件等知识空白。本文通过逆向分析shell32.dll组件,首次完整揭示其工作机制。该工件位于注册表路径。
2025-07-31 14:10:23
816
原创 用Pwndbg恢复二进制文件调试信息:Binary Ninja集成与Go调试增强
当调试缺乏调试符号的"剥离二进制文件"时,GDB会丧失大量功能:函数和变量名变成无意义的地址,设置断点需要从外部查找函数地址,查看结构化值需要手动解析内存转储。为此,我在Trail of Bits实习期间扩展了Pwndbg——这是由我的导师Dominik Czarnota维护的GDB插件,新增两项功能使剥离二进制文件的调试体验接近IDE调试器。
2025-07-31 11:06:01
974
原创 QueryCon 2019:osquery发展的转折点
距离Trail of Bits主办QueryCon已经过去3个月了吗?我们度过了一个如此忙碌而充实的夏天,几乎忘了回顾这次活动的成功!6月20-21日,Trail of Bits与Kolide和Carbon Black合作,在纽约市中心的Convene Old Slip会议中心举办了第二届年度QueryCon。我们以150名全球参会者打破了去年的出席记录。14位演讲者带来了关于osquery的技术演讲,内容涵盖Linux安全事件监控的技术演示到终端用户研究的讨论。
2025-07-31 09:10:22
467
原创 Arthas - Java诊断利器
是Alibaba开源的Java诊断工具,深受开发者喜爱。它允许开发者在生产环境中对Java应用进行问题诊断,而无需修改代码或重启服务器。Arthas支持JDK 6+,兼容Linux/Mac/Windows平台,采用命令行交互模式,提供丰富的。更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)自动补全功能,极大提升了问题定位和诊断的效率。
2025-07-30 23:11:50
384
visual C++网络编程视频教程.zip
2019-12-29
understanding the linux kernel,3rd edition.zip
2019-12-29
java加密与解密算法教程.zip
2019-12-29
iOS文件系统镜像提取与解析.pdf
2020-05-31
burp插件开发基础一(JAVA篇).pdf
2021-02-14
burp插件调试.pdf
2021-02-15
app请求数据解密(AES)一.pdf
2021-08-29
app请求数据解密(AES)二.pdf
2021-08-29
iOS App的tcp、udp数据包抓取与分析.pdf
2020-06-02
frida反射调用对象中的方法与字段.pdf
2020-12-09
android逆向之frida脚本中overload带的参数.pdf
2020-11-22
电脑控制安卓手机的软件scrcpy.zip
2020-01-16
iOS逆向之lldb调试分析CrackMe1.pdf
2020-01-19
Linux 8188eu无线网卡驱动.zip
2020-01-12
apk短信验证码安全测试二.pdf
2021-05-05
apk短信验证码安全测试一.pdf
2021-05-04
burp插件开发基础二(JAVA篇).pdf
2021-04-05
移动设备http、https数据包抓取(Fiddler篇).pdf
2020-03-29
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人