精彩博客

AI 版权第一案:我用 AI 做的图,版权归我吗?

最近,一个跟 AI 相关的案子引起了全国同行的围观,原因是一个百家号作者在网上写文章时,用了一张网上的 AI 图片当配图,结果被图片的生产者告侵权。这不禁让人紧张:以后 AI 产的图片,还能随便用吗?会不会侵权? 事情是这样的—— 2023年2月,李昀锴使用 Stable Diffusion 模型,通过在模型上输入数十个提示词,设置相关迭代步数、图片高度、提示词引导系数以及随机数种子等,生成了数张人像图片。随后,李昀锴以 “春风送来...

01/30 15:50
3.4W
2
开源软件有漏洞,作者需要负责吗?是的!

近日,禅道创始人王春生在开源中国发布的一篇文章引起了众多同行的围观,原因是他分享了一个开源协议在中国面临的 bug:开源软件许可协议通常会表明作者不对用户使用该开源软件所造成的任何问题负责。但是!这种条款,在中国,是违法的—— 2017 年发布的《中华人民共和国网络安全法》 第二十二条规定: 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全...

2023/10/16 16:52
8W
3
记一次“有手就行”的从SQL注入到文件上传Getshell的简单过程

0x01 前台SQL注入 漏洞原理 SQL 注入漏洞的原理是应用程序没有对用户输入进行充分的验证和过滤,导致攻击者可以在输入框中插入恶意的 SQL 代码。当应用程序将用户输入的数据拼接到 SQL 查询语句中时,攻击者插入的恶意代码也会被执行,从而绕过身份验证和访问控制,直接访问或修改数据库中的数据。 1、查找注入点。 如果要对一个网站进行SQL注入攻击,首先就需要找到存在SQL注入漏洞的地方,也就是寻找所谓的注入点。可能的SQL...

06/04 09:36
550
0
【直播预告】国产数据库,一半都是花架子?

随着数字化转型的加速,企业和政府机构对于高效、可靠且安全的数据库解决方案的需求不断攀升。国产化的需求,叠加技术上的突破,国产数据库领域的创业浪潮一浪高过一浪。截至2023年底,中国市场上有将近300款数据库产品,约有100家数据库厂商。知名投资机构如红杉、高瓴、腾讯等纷纷下场,每家手上投资的数据库至少在3个以上,可见资本的青睐。 一些数据库凭借自身的实力,拿下了亿元融资,中标多个项目,节节高升,成功上市;可...

03/22 16:23
2W
0
云小课|HSS对近期Cactus勒索病毒的分析

阅识风云是华为云信息大咖,擅长将复杂信息多元化呈现,其出品的一张图(云图说)、深入浅出的博文(云小课)或短视频(云视厅)总有一款能让您快速上手华为云。更多精彩内容请单击此处。 摘要:HSS针对Cactus勒索病毒的解析与防护建议。 本文分享自华为云开发者社区 《【云小课】| 安全第15课 HSS对近期Cactus勒索病毒的分析》,原文作者:阅识风云 近期热点勒索事件 2023年首次发现的勒索病毒Cactus已迅速在数字领域蔓延,利用漏洞(...

01/22 15:35
929
0
Web应用防火墙--规则防护 | 京东云技术团队

一、什么是Web应用防火墙? Web应用防火墙对网站、APP的业务流量安全及合规性保护,对业务流量的识别恶意特征提取、分析识别出恶意流量并进行处理, 将正常安全的流量回源到业务服务器, 保护网站核心业务和数据安全。 京东云Web应用防火墙的产品架构示意图如下: 二、Web攻击常见的检测手段? Web攻击常见的三种检测手段,规则检测、AI检测或语义检测。 1.规则检测:效率高、识别精准度高。其表现形式是正则表达式,通过正...

2023/09/07 09:21
1K
0
恶意爬虫防护 | 京东云技术团队

引言 如果您仔细分析过任何一个网站的请求日志,您肯定会发现一些可疑的流量,那可能就是爬虫流量。根据Imperva发布的《2023 Imperva Bad Bot Report》在2022年的所有互联网流量中,47.4%是爬虫流量。与2021年的42.3%相比,增长了5.1%。在这些爬虫流量中,30.2%是恶意爬虫,比2021年的27.7%增长了2.5%。 从国内外公开的数据中可以得出,恶意爬虫几乎出现在各个行业,无论是传统行业、泛互联网,还是政企、金融等,都各种程度遭受...

2023/09/06 10:07
1.8K
0
构建一体化云原生安全防御体系,京东云云原生安全平台重磅发布

当用户充分利用原生云能力进行应用设计、部署和运维时,云原生也面临新的安全挑战,例如镜像漏洞与投毒、编排软件漏洞、不安全配置利用、容器逃逸等。 面对这样的风险,京东云重磅发布云原生安全平台,包含资产清点、镜像安全、运行时安全、网络安全、集群安全、节点安全等安全服务,提供从镜像生成、存储到运行时的全生命周期云原生安全解决方案。 直击痛点打造一体化防护 每年的京东6.18、11.11都会面临高并发、大流量的技术挑...

2023/09/05 10:14
388
0
安全测试常态化落地方案及日常推进机制 | 京东物流技术团队

# **一、背景** 数据安全法实施后,国家监管部门加强了对企业数据安全的监管力度。在这个大的背景下,为保障物流体系系统安全,提前规避安全风险,由测试组牵头制定安全测试流程规范并持续推进安全测试常态化。 # **二、安全漏洞的类型及危害** ### 1、常见安全漏洞类型 越权类漏洞、上传漏洞、XSS漏洞、CSRF漏洞、SQL注入漏洞、任意文件读取漏洞、反序列化漏洞、CORS漏洞、SSRF漏洞、URL调整漏洞等 ### 2、安全漏洞危害 1\. 信...

2023/08/22 10:18
530
0
OSCS开源安全周报第 56 期:Apache Airflow Spark Provider 任意文件读取漏洞

## 本周安全态势综述 OSCS 社区共收录安全漏洞 3 个,公开漏洞值得关注的是 Apache NiFi 连接 URL 验证绕过漏洞(CVE-2023-40037)、PowerJob 未授权访问漏洞(CVE-2023-36106)、Apache Airflow Spark Provider 任意文件读取漏洞(CVE-2023-40272)。 针对 NPM 、PyPI 仓库,共监测到 81 个不同版本的毒组件,其中 NPM 组件包 mall-front-babel-directive 等携带远控木马,该系列的组件包具有持续性威胁行为 。 ## 重要安全漏洞列表 ...

2023/08/21 15:09
3.7K
0
OpenSSL 3.0.0 设计(三)|FIPS 模块

译|王祖熙 *(花名:金九 )* 蚂蚁集团开发工程师 *负责国产化密码库 Tongsuo 的开发和维护* *专注于密码学、高性能网络、网络安全等领域* **本文 9658 字 阅读 20 分钟** 本文翻译 OpenSSL 官网文档: Tongsuo-8.4.0 是基于 OpenSSL-3.0.3 开发,所以本文对 Tongsuo 开发者同样适用,内容丰富,值得一读! 由于文章篇幅较长,今天带来的是 **《FIPS模块》** 部分内容,已发布文章《介绍、术语与架构》、《Core 和 Provider 设计...

2023/08/16 10:38
1.6K
0
Hutool:一行代码搞定数据脱敏 | 京东云技术团队

1. 什么是数据脱敏 1.1 数据脱敏的定义 数据脱敏百度百科中是这样定义的: 数据脱敏,指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。这样就可以在开发、测试和其它非生产环境以及外包环境中安全地使用脱敏后的真实数据集。在涉及客户安全数据或者一些商业性敏感数据的情况下,在不违反系统规则条件下,对真实数据进行改造并提供测试使用,如身份证号、手机号、卡号、客户号等个人信息都需要进行数据...

2023/08/11 09:36
3K
0
聚焦Web前端安全:最新揭秘漏洞防御方法 | 京东云技术团队

在 Web 安全中,服务端一直扮演着十分重要的角色。然而前端的问题也不容小觑,它也会导致信息泄露等诸如此类的问题。在这篇文章中,我们将向读者介绍如何防范Web前端中的各种漏洞。【万字长文,请先收藏再阅读】 首先,我们需要了解安全防御产品已经为我们做了哪些工作。其次,我们将探讨前端存在哪些漏洞,并提供相应的防范思路。 一、安全防御产品 安全防御产品一般有: 传统互联网公司的安全防御体系,类似于一个空气净化模型...

2023/08/10 09:52
1.3K
0
OpenSSL 3.0.0 设计(一)|介绍、术语与架构

译|王祖熙(花名:金九 ) 蚂蚁集团开发工程师 *负责国产化密码库 Tongsuo 的开发和维护**专注于密码学、高性能网络、网络安全等领域* **本文 4830 字 阅读 13 分钟** 本文翻译 OpenSSL 官网文档: Tongsuo-8.4.0 是基于 OpenSSL-3.0.3 开发,所以本文对 Tongsuo 开发者同样适用,内容丰富,值得一读! 由于文章篇幅较长,今天发布的是**介绍**、**术语**和**架构**三部分内容,后续内容将随每周推送完整发布,请持续关注铜锁公...

2023/07/27 17:50
9.5K
0
2023年最具威胁的25种安全漏洞(CWE TOP 25)

摘要: CWE Top 25 是通过分析美国国家漏洞数据库(NVD)中的公共漏洞数据来计算的,以获取前两个日历年 CWE 弱点的根本原因映射。 本文分享自华为云社区《2023年最具威胁的25种安全漏洞(CWE TOP 25)》,作者: Uncle_Tom 。 CWE Top 25 是通过分析美国国家漏洞数据库(NVD)中的公共漏洞数据来计算的,以获取前两个日历年 CWE 弱点的根本原因映射。这些弱点会导致软件中的严重漏洞。攻击者通常可以利用这些漏洞来控制受影响的系统、...

2023/07/11 10:58
3.5K
0
辅助测试和研发人员的一款小插件【数据安全】 | 京东云技术团队

一、为什么要做一款这样的小插件 数据,一直在思考如何让数据更安全的流转和服务于客户,围绕这样的想法,我们做过许多方面的扩展。我们落地了服务端的数据切片支持场景化的设计,实现了基于JDBC协议对SQL的拦截与切片,实现了在应用层的全链路数据库审计方案和实现,实现了WEB端明暗水印和文档水印等等,但这些都是在应用服务端的改造;那么围绕以上服务端的思想产生了在端上做一些事情,分析了集团内部服务,多以WEB服务端对客...

2023/05/30 10:46
1.8K
0
GOTC 2023 “开源安全”专题论坛议程曝光

开源软件在数据中心、消费者设备和应用程序中无处不在。使用开源代码已经成为软件开发的新常态,统计显示,一个软件平均有 90% 的代码源自开源,保证开源供应链安全已经远超出了一般开发者的能力。开源安全需要业界共同联手,为行业打造自动化工具、总结最佳实践、推动安全教育和鼓励开源安全协作。 5 月 28 日,GOTC 2023 “开源安全”专题论坛将于上海张江科学会堂举行。该论坛由 Linux 基金会亚太区副总裁杨轩担任出品人。在...

2023/05/23 16:03
3.4K
0
公开比拼硬实力,华为众多议题入选 GOTC 2023

全球开源技术峰会(Global Open-source Technology Conference) GOTC 2023 由开放原子开源基金会、 Linux 基金会亚太区、上海浦东软件园和开源中国联合发起, 将于 5 月 27 日至 28 日在上海张江科学会堂隆重举行。 这场面向全球开发者的盛大开源技术盛宴,堪称 2023 年开源风向标。大会将以行业展览、主题发言、专题论坛、开源市集的形式展现,与会者将一起探讨元宇宙、3D 与游戏、eBPF、Web3.0、区块链等热门技术主题,以及开...

2023/05/19 16:03
2.7K
1
倒数计时,全球开源技术峰会 GOTC 要来了

报名注册倒计时,错过等一年! 全球开源技术峰会(Global Open-source Technology Conference) GOTC 2023 由开放原子开源基金会、 上海浦东软件园、Linux 基金会亚太区和开源中国联合发起, 将于 5 月 27 日至 28 日在上海张江科学会堂隆重举行。 大会报名通道: https://www.bagevent.com/event/8387611 为期 2 天的开源行业盛会,将以行业展览、主题发言、论坛、圆桌、快闪演讲、开源市集等形式来诠释此次大会主题 ——“Ope...

2023/05/16 17:51
8.1K
0
eBPF,何以称得上是革命性的内核技术?

eBPF 的全称是 extended Berkeley Packet Filter,它被称之为“革命性”的内核技术,可以在 Linux 内核中运行沙盒程序,而无需更改内核源代码或加载内核模块。它提供了一种通用执行引擎,可以基于系统或程序事件高效安全地执行特定代码,就像在实时 (JIT) 编译器和验证引擎的帮助下进行本机编译一样。 如今,eBPF 被广泛用于各种场景:在现代数据中心和云原生环境中提供高性能网络和负载平衡,以低成本提取细粒度的安全可观测...

2023/04/23 18:23
3.5W
0

没有更多内容

加载失败,请刷新页面

基于事件驱动的邀约自动化机制

本文详细介绍了58同城邀约业务系统的架构设计和实践经验。文章涵盖了系统的业务背景、整体架构、核心组件设计、技术实现细节等。通过平台化设计和标准化实践,该系统显著提升了产研效率、交付...

08/30 14:26
2.8K
0
Java虚拟线程探究与性能解析

虚拟线程是由Java运行时而不是操作系统实现的Java线程,和传统线程(或称之为平台线程)之间的主要区别在于,我们可以很容易地在同一个Java进程中运行大量活动的虚拟线程,甚至数百万个。大量的...

08/28 18:12
4.1K
0
浅析JVM invokedynamic指令和Java Lambda语法|得物技术

一、导语 尽管近年来JDK的版本发布愈发敏捷,当前最新版本号已经20+,但是日常使用中,JDK8还是占据了统治地位。 ++你发任你发,我用Java8:【Jetbrains】2023 开发者生态系统现状 - https:...

08/27 16:07
6.9K
3
百度搜索的RLHF性能优化实践

导读 本文大语言模型在未经标注的大量文本上进行预训练后,可能产生包含偏见、泄露隐私甚至对人类构成威胁的内容。OpenAI 最先提出了基于人类反馈的强化学习算法(Reinforcement Learning fro...

08/27 14:01
4K
1
HarmonyOS ArkUI工程框架解析

通过 HarmonyOS Developer 官网我们可以了解 ArkUI 是一套声明式开放框架,开发者可以基于 ArkTS 语法设计一套极简的 DSL 以及丰富的 UI 组件完成跨设备的界面开发。 那么 ArkUI 是如何实现这...

08/26 18:58
7.5K
1
社区供稿 | 如何让大模型输出 10k+ 字长文?

随着大语言模型的发展,许多模型已经能够处理超过100k+ tokens的输入上下文。然而,这些模型在生成长文本时,普遍存在输出长度受限的问题。 在实际应用中,为了克服这个问题,人们普遍采用「...

08/23 10:30
3.6K
1
一文了解电商大促系统的高可用保障思路-献给技术伙伴们

本文面向受众可以是运营、可以是产品、也可以是研发、测试人员,作者希望通过如下思路(知历史->清家底->明目标->定战略->做战术->促成长)帮助大家能够了解电商大促系统的高可用保障,减少哪...

08/22 15:17
8K
0
利用多Lora节省大模型部署成本|得物技术

一、背景 近期,我们在大模型集群的部署过程中遇到了一些挑战。公司有多个业务场景,每个场景都基于自身的数据进行微调,训练出相应的大模型并上线。然而,这些场景的调用量并不高,同时大模...

08/20 18:08
8.3K
2
基于AI的D2C前端代码生成技术深入总结

在AI技术日益渗透至各领域的背景下,本文深入探讨了B端(D2C)前端代码生成技术的核心挑战与实战解决方案,诚实地揭示了在实现自动化代码生成过程中遭遇的重重难关。 产品介绍 ▐ 背景 ● 做...

08/19 18:16
4.8K
0
信息流广告预估技术在美团外卖的实践

本文整理自美团技术沙龙第81期《美团在广告算法领域的探索及实践》(B站视频)。文章首先介绍了美团信息流广告业务以及预估技术的现状,然后重点分享了信息流广告预估在美团的具体实践,围绕决...

08/16 10:14
3.8K
0
基于飞桨框架的稀疏计算使用指南

本文作者-是 Yu 欸,华科在读博士生,定期记录并分享所学知识,博客关注者5w+。本文将详细介绍如何在 PaddlePaddle 中利用稀疏计算应用稀疏 ResNet,涵盖稀疏数据格式的础知识、如何创建和操...

08/15 14:25
5.2K
0
得物Flink内核探索实践

一、前言 随着大数据技术的飞速发展,实时处理能力变得越来越重要。在众多实时处理框架中,Apache Flink以其强大的流处理能力和丰富的功能集,受到了广泛关注和应用。在实时业务日益增长的趋...

08/15 10:05
1W
0
京东企业业务前端监控实践

现代前端应用场景复杂多变,用户体验至关重要。在这种情况下,如何保证前端系统的稳定性和可持续性是一个关键问题。接下来,我们将针对当前企业业务前端现状,探讨我们是如何基于监控和巡检来...

08/13 10:00
9.9K
2
MySQL 5.7 DDL 与 GH-OST 对比分析

作者:来自 vivo 互联网存储研发团队- Xia Qianyong 本文首先介绍MySQL 5.7 DDL以及GH-OST的原理,然后从效率、空间占用、锁阻塞、binlog日志产生量、主备延时等方面,对比GH-OST和MySQL5.7 ...

08/07 20:00
9.2K
2
AIGC大模型实践总结

大模型浪潮席卷全球,在各行各业中的重要性愈发凸显,呈现出一股不可逆转的发展趋势。这一年本人所在业产技也在这一过程中持续探索和尝试AIGC。本文一方面是对AIGC实践的总结回顾,同时也是本...

08/07 18:25
8K
3
基于MySQL内核的SQL限流设计与实现|得物技术

一、引言 编写目的 本文详细描述了SQL限流特性的需求设计方案以及使用方式,开发、测试人员可根据本文实现功能的开发、测试,DBA可根据本文合理使用SQL限流功能。 需求概述 生产环境中可能出...

08/06 13:54
1W
0
深度解读KubeEdge架构设计与边缘AI实践探索

摘要:解读业界首个云原生边缘计算框架KubeEdge的架构设计,如何实现边云协同AI,将AI能力无缝下沉至边缘,让AI赋能边侧各行各业,构建智能、高效、自治的边缘计算新时代,共同探索智能边缘的...

08/06 11:22
4K
0
读友好的缓存淘汰算法

作者 | 小y 导读 广告检索系统的性能长尾影响KPI,间接影响收入,极致优化成本和性能一直是检索端工程团队的重要工作。随着基于SSD分级存储在商业场景规模应用,在部分访盘量高的场景,为控制...

08/06 10:22
6.8K
0
“JVM” 上的AOP:Java Agent 实战

在软件开发领域,面向切面编程(AOP)作为一种强大的技术手段,极大地促进了代码的模块化与可维护性,尤其在处理横切关注点方面表现出色。本文将深入探讨Java平台上的AOP实现,聚焦于Spring ...

08/02 20:40
1.1W
4
B端常用交互方式的量化及优化实践和指引|得物技术

一、引言 B端前端交互领域是处于视觉设计师、产品和前端之间的交叉地带,而交互领域有以下特点: 业务影响低:对业务功能影响不大,即业务功能完整性不会因为交互的好坏受影响 量化难:难以被...

07/30 10:16
6.9K
0

没有更多内容

加载失败,请刷新页面

AI 版权第一案:我用 AI 做的图,版权归我吗?

最近,一个跟 AI 相关的案子引起了全国同行的围观,原因是一个百家号作者在网上写文章时,用了一张网上的 AI 图片当配图,结果被图片的生产者告侵权。这不禁让人紧张:以后 AI 产的图片,还能随便用吗?会不会侵权? 事情是这样的—— 2023年2月,李昀锴使用 Stable Diffusion 模型,通过在模型上输入数十个提示词,设置相关迭代步数、图片高度、提示词引导系数以及随机数种子等,生成了数张人像图片。随后,李昀锴以 “春风送来...

01/30 15:50
3.4W
2
开源软件有漏洞,作者需要负责吗?是的!

近日,禅道创始人王春生在开源中国发布的一篇文章引起了众多同行的围观,原因是他分享了一个开源协议在中国面临的 bug:开源软件许可协议通常会表明作者不对用户使用该开源软件所造成的任何问题负责。但是!这种条款,在中国,是违法的—— 2017 年发布的《中华人民共和国网络安全法》 第二十二条规定: 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全...

2023/10/16 16:52
8W
3
Apache OFBiz远程代码执行漏洞(CVE-2024-38856)

漏洞简介 Apache OFBiz 是一个开源的企业资源规划系统,提供了一整套企业管理解决方案,涵盖了许多领域,包括财务管理、供应链管理、客户关系管理、人力资源管理和电子商务等。Apache OFBiz 基于 Java 开发,采用灵活的架构和模块化设计,使其可以根据企业的需求进行定制和扩展,它具有强大的功能和可扩展性,适用于中小型企业和大型企业,帮助他们提高效率,降低成本,并实现业务流程的自动化和优化。Apache OFBiz 在处理 view...

昨天 16:16
54
0
如何通过组合手段大批量探测CVE-2024-38077

背景 近期正值多事之秋,hvv中有CVE-2024-38077专项漏洞演习,上级police也需要检查辖区内存在漏洞的资产,自己单位领导也收到了情报,在三方共振下这个大活儿落到了我的头上。Windows Server RDL的这个漏洞原理就不过多介绍,本文重点关注如何满足大批量探测的需求。 问题 CVE-2024-38077自披露以来流传过几个poc工具,但使用过后留下的只有某某服的exe版本。可能出于保密原因,这个工具不支持的功能太多,本文就不一一列举,采...

09/10 11:00
24
0
SDL序列课程-第23篇-SDLC与DevSecOps区别篇也进行总结

  为什么要弄SDLC与DevSecOps区别篇呢,据我的了解、问了很多人,SDL和SDLC的区别在于哪里?其实很多人都讲不清楚,所以才出了这个序列的课程。   主要很多人还弄不清楚什么是DevSecOps、什么是SAST、IAST、DAST、RASP 为此做了入门篇的介绍。继SDL的第一阶段总结后把SDLC与DevSecOps区别篇也进行总结,主要从SDL与DevSecOps区别、什么是DevSecOps、什么是静态应用程序安全测试(SAST)、什么是交互式应用程序安全测试(IAST)、...

09/09 18:18
0
0
靶场战神为何会陨落?

我从第一个SQL注入漏洞原理学起,从sql-libas到DVWA,到pikachu再到breach系列,DC系列靶场,再到实战挖洞,发现靶场与实战的区别是极其大的。 我个人觉得在这种web环境下,难的不是怎么测一个漏洞点,而是怎么找一个漏洞点。靶场与实战最大的区别在于你不知道这个地方到底有没有漏洞,尤其是在复杂的业务数据交互下,数据包,参数,接口将极其复杂。 本文将以DC系列靶场为例子,分析靶场与实战的区别,同时分享实战思路与需要用到的一些工...

09/04 10:57
61
0
针对中国用户的SLOW#TEMPEST 行动中DLL劫持分析

近日被 Securonix 威胁研究人员确定为 SLOW#TEMPEST 的攻击活动报告中披露了一个名为使用UI.exe进行DLL 劫持攻击的攻击手法。文中指出"该活动似乎专门针对中国境内的受害者,文件名和诱饵主要以中文书写即可证明这一点。此外,威胁行为者使用的所有命令和控制 (C2) 基础设施均由中国公司深圳腾讯计算机系统有限公司托管在中国。仔细查看恶意样本的遥测数据表明,所涉及的大多数恶意软件和文件都来自中国境内,这进一步证实了中国...

09/03 22:03
54
0
大模型隐私泄露攻击技巧分析与复现

前言 大型语言模型,尤其是像ChatGPT这样的模型,尽管在自然语言处理领域展现了强大的能力,但也伴随着隐私泄露的潜在风险。在模型的训练过程中,可能会接触到大量的用户数据,其中包括敏感的个人信息,进而带来隐私泄露的可能性。此外,模型在推理时有时会无意中回忆起训练数据中的敏感信息,这一点也引发了广泛的关注。 隐私泄露的风险主要来源于两个方面:一是数据在传输过程中的安全性,二是模型本身的记忆风险。在数据传输...

09/03 09:13
47
0
记某项目的二顾茅庐5K实战

一顾茅庐 漏洞一:存在逻辑缺陷导致无限发布新动态和可修改动态问题 可以看到此时发布了一个动态,还可以发布两个动态。 点击发布新动态,填写好信息点击提交并抓包 可以发现成功发布,回到动态页面可以看到可发布次数还是2,并且新发布的动态比正常发布的还多了一个修改的功能,可以正常使用此功能进行修改已经发布的动态。 再发一次,字段还是-1,下面的展界改为135,正常发布动态是无法选择展界的,此时可以成功的任意修改数...

08/28 09:36
32
0
如何选择最适合在线游戏的CDN服务

在竞争激烈的在线游戏市场中,确保游戏性能和玩家体验是成功的关键。内容传递网络(CDN)在此中扮演着至关重要的角色。本文将深入解析CDN服务在减少游戏延迟和提升玩家体验中的作用,并指导如何根据游戏类型选择最合适的CDN解决方案。 CDN在在线游戏中的重要性 CDN通过将游戏内容缓存在全球分布的服务器上,可以显著减少数据传输时间,从而降低游戏的延迟。这对于多玩家在线角色扮演游戏(MMORPG)和竞技游戏尤其重要,因为这些...

08/27 16:14
21
0
利用子域的System权限通往父域

前言 最近翻阅笔记发现一篇文章提到通过子域的System权限可以突破获取到父域权限,本文将对此技术进行尝试复现研究。 利用分析 环境信息: 子域:187、sub.cs.org 父域:197、cs.org 首先通过在子域的域控机器上打开mmc.exe->连接ADSI->配置来查看子域的配置命名上下文: 从配置中可以看到配置命名上下文的域名实际上是父域cs.org,因此判断子域中看到的信息可能是父域的副本: 继续查看配置对象的安全描述符中的ACL,发现子域...

08/23 17:31
36
0
LLVM IR 深入研究分析

前置知识 LLVM是C++编写的构架编译器的框架系统,可用于优化以任意程序语言编写的程序。 LLVM IR可以理解为LLVM平台的汇编语言,所以官方也是以语言参考手册(Language Reference Manual)的形式给出LLVM IR的文档说明。既然是汇编语言,那么就和传统的CUP类似,有特定的汇编指令集。但是它又与传统的特定平台相关的指令集(x86,ARM,RISC-V等)不一样,它定位为平台无关的汇编语言。也就是说,LLVM IR是一种相对于CUP指令集高级,但...

08/20 09:47
100
0
2024下半年软考已有20地公布报名时间!

  2024年下半年各地软考报名将在8月20日起陆续开始,截止8月116日18:00,已有上海、福建、贵州、宁夏、大连、辽宁、黑龙江、甘肃、河北、海南、四川、江西、广西、广东、安徽、山东、吉林、西藏、江苏、宁波等20地公布了报名缴费时间。课课家小编将2024年全国软考报名时间及报名通知汇总成表,详见正文。   一、报名时间   根据这些地区发布的软考报名通知,各地已公布的报名缴费时间汇总如下: 2024下半年全国软考报名时...

08/17 23:08
62
0
2024下半年软考已有20地公布报名时间!

  2024年下半年各地软考报名将在8月20日起陆续开始,截止8月116日18:00,已有上海、福建、贵州、宁夏、大连、辽宁、黑龙江、甘肃、河北、海南、四川、江西、广西、广东、安徽、山东、吉林、西藏、江苏、宁波等20地公布了报名缴费时间。课课家小编将2024年全国软考报名时间及报名通知汇总成表,详见正文。   一、报名时间   根据这些地区发布的软考报名通知,各地已公布的报名缴费时间汇总如下: 2024下半年全国软考报名时...

08/17 23:07
47
0
MFC框架软件逆向研究

MFC框架简介 什么是mfc? MFC库是开发Windows应用程序的C++接口。MFC提供了面向对象的框架,采用面向对象技术,将大部分的Windows API 封装到C++类中,以类成员函数的形式提供给程序开发人员调用。 简单来说,MFC是一种面向对象,用于开发windows应用程序的框架,突出特点是封装了大部分windows API,便于开发人员使用(写win挂方便)。 MFC程序的运行过程分为以下四步: 利用全局应用程序对象theApp启动应用程序。 调用全局应用...

08/14 16:20
57
0
游戏安全入门-扫雷分析&远程线程注入

前言 无论学习什么,首先,我们应该有个目标,那么入门windows游戏安全,脑海中浮现出来的一个游戏 -- 扫雷,一款家喻户晓的游戏,虽然已经被大家分析的不能再透了,但是我觉得自己去分析一下还是极好的,把它作为一个小目标再好不过了。 我们编写一个妙妙小工具,工具要求实现以下功能:时间暂停、修改表情、透视、一键扫雷等等。 本文所用工具: Cheat Engine、x32dbg(ollydbg)、Visual Studio 2019 扫雷游戏分析 游戏数据在内...

08/13 10:22
64
0
【总结】注册码泄露原理以及例题

引言 题目给了小明的机器码:1653643685031597 用户user_id:xiaoming 可以看到题目采用了SIMD指令集 该指令格式在CTF和攻防对抗中经常出现,可以提高执行效率的同时也可以增加逆向的难度。 对于此类指令和题目,我们分析的方法是:遇到查意思,查的多了就跟看正常代码一样,采用动态分析。 机器码修改 将内置的机器码改为题目给的:1653643685031597 修改成功: 得到flag的时候跟machine这个有很大关系。 【---- 帮助网安学习,...

08/09 10:56
59
0
关于敏感数据的存储与展示:从数据泄露事件到安全解决方案

敏感数据是指那些如果未经授权被访问、泄露、修改或破坏,可能会对个人、组织或国家的安全、隐私、经济利益等造成严重影响的数据。这些数据通常包含个人隐私信息、商业秘密、知识产权等关键内容。 近几年数据泄露事件举例 近几年数据泄露事件频发,涉及金融、电商、互联网、教育、医疗、酒店、汽车等行业,下面举几个例子: 1. 某*酒店集团数据泄露事件 时间:2018年 事件概述:某*酒店集团发生了一起严重的数据库泄露事件,导致...

08/09 10:52
128
0
jwt伪造身份组组组合拳艰难通关

前言 现在的攻防演练不再像以往那样一个漏洞直捣黄龙,而是需要各种组合拳才能信手拈来,但是有时候使尽浑身解数也不能称心如意。 前期信息收集 首先是拿到靶标的清单 访问系统的界面,没有什么能利用的功能点 首先进行目录扫描,扫描发现存在xxx.zip的文件放置在web目录上 一般zip文件大部分情况都是开发运维人员做系统维护时留下的备份文件,在系统上线后并没有将其删除,于是底裤(即源代码)都直接给到了攻击者 来到这一步都...

08/08 23:27
59
0
【实战】文件加密器进行逆向

前言 实战可以大大提高自己,学习技术的目的就是能够在实战中运用。 本次实战与实际息息相关,该软件具有加密某文件的功能。 界面还挺好看的,功能很简单,输入文件和PIN(4位)进加解密。 这是被加密的文件 需要将其进行解密,拿到flag 思路 因为PIN是4位,因此可以写一个python脚本,对其进行爆破。 关键在于得出加密的算法,此时就需要我们进行逆向分析了 分析 先尝试进行加密 根据关键词:encrypted 进行定位 发现是我们需要...

08/07 10:55
81
0

没有更多内容

加载失败,请刷新页面

返回顶部
顶部