-
计算机基础相关的问题(数据结构、数据库、密码学等)
C/S与B/S C/S结构,即Client/Server(客户机/服务器)结构,通过将任务合理分配到Client端和Server端,降低了系统的通讯开销,可以充分利用两端硬件环境的优势。早期的软件系统多以此作为首选设计标准。 优点: 2.1 C/S架构的界面和操作可以很丰富。2.2 安全性能可以很容易保证,实现多层认证也不难。2.3 由于只有一层交互,因此响应速度较快。 缺点: 2.4 适用面窄,通常用于局域网中。2.5 用户群固定。由于程序需要...…
-
Linux与安全基础
Linux基础 /etc/passwd 和 /etc/shadows 详解 passwd文件举例 root:x:0:0:root:/root:/bin/bashdaemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologinbin:x:2:2:bin:/bin:/usr/sbin/nologinsys:x:3:3:sys:/dev:/usr/sbin/nologin 对应字段 ...…
-
用户行为日志分析
前言慕课网《以慕课网日志分析为例 进入大数据 Spark SQL 的世界》笔记。日志数据内容1)访问的系统属性:操纵系统、浏览器等2)访问特征:点击的url、从哪个url跳转过来(referer)、页面上的停留时间3)访问信息:session_id、访问ip信息(城市信息)等离线数据处理流程1)数据采集:Flume:将日志从一个地方采集到另一个地方,如web日志到HDFS2)数据清洗:脏数据:spark、Hive、MapReduce等,清洗完的数据可以放在HDFS中3)数据处理:按照需求进...…
-
hadoop相关基础
概述 狭义的hadoop: HDFS:分布式存储MapReduce:分布式计算YARN:资源调度 广义hadoop生态圈: Flume进行数据采集Spark/MR/Hive等进行数据处理HDFS/HBase进行数据存储 HDFS架构: 1 个Master(即为NameNode/NN)带N个Slaves(DataNode/DN) 1个文件会被拆分成多个Block,例:blocksize 128M NN: 1)负...…
-
HTTP报文解析
详解HTTP请求行、请求头、请求体详解①请求方法(HTTP 1.1中支持): 解析HTTP协议六种请求方法,get,head,put,delete,post有什么区别 get:提交的数据最多1024字节 head:只请求页面的首部 post:数据被包含在请求体中。POST请求可能会导致新的资源的建立和/或已有资源的修改。 put:与post相似,但是会指定资源的存放位置 options:允许客户端查看服务器的性能,获取当前URL所...…
-
Hack the box 的一些write up
Celestial nmap -sC -sV 10.10.10.85 发现3000端口开了node.js服务 查找到node.js反序列化RCE,Exploiting Node.js deserialization bug for Remote Code Execution 反弹shell后查看到/home/sun/Documents/user.txt里面是用户flag,同目录下有个script.py 查看当前进程里面有没有python脚本,发现root正在运行这个脚本,猜测可能...…
-
文字框选相关问题(R-CNN,SPPNET,Fast R-CNN,Faster R-CNN,CTPN,YOLO )
前言搜集了别人总结的文章,加上自己做的小笔记,供复习查看用。数据集 图片框选与标注工具 ImageNet ILSVC 2012: 标定每张图片中物体的类别。一千万图像,1000类 PASCAL VOC 2007: 标定每张图片中,物体的类别和位置,一万图像,20类 (VOC物体检测任务:如果某数据集包含了20个物体类别,则还需要加上背景类,总共21类) R-CNN这个博主写的文章,真的是很清晰啊,把所有不清楚的名词都解释好了~RCNN-将CNN引入目...…
-
Java反序列化
定义深入理解JAVA反序列化漏洞 序列化 :把Java对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的writeObject()方法可以实现序列化。 反序列化:是指把字节序列恢复为Java对象的过程,ObjectInputStream类的readObject()方法用于反序列化。序列化与反序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。主要应用在以下场景:HTTP:多平台之间的通信,...…
-
面试问题总结
阿里 2018-04-09阿里hr面本来约了昨天面试哒,好像说面试官小哥哥昨天面了太多人了,没来得及面我T.T差点以为自己被刷了自我介绍聊了一个项目(全程都是我自己在说,算是项目介绍吧)平时怎么学习的有什么业余爱好从之前的面试中有什么收获以后想要从事什么方向的工作有自己写过什么大型项目吗阿里 2018-04-04阿里云交叉面主要还是围绕简历来问的,大叔给我提了很多中肯的建议说我有的项目太学术化,想当然了对很多知识点的理解太浅了,不够深入,自己不是特别擅长的东西就不要写在简历上面了感觉自己还...…
-
字符集以及转义编码相关问题
### GB2312 , GBK , GB18030 , BIG5 , SHIFT_JIS 等这些都是常说的宽字节(两个字节),ascii就是单字节(一个字节) + 呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码 + 一个gbk编码汉字,占用2个字节。一个utf-8编码的汉字,占用3个字节 常用 %20 -> 0x20 -> 空格 %23 -> 0x23 -> # %0d -> ...…
-
防火墙,WAF,IDS,IPS
前言下面总结的内容都比较简略,可能是摘抄了《白帽子》,可能是网上搜集的资料,或者直接给出了别人总结的很好的文章供以后查看,因为每个点展开来将都可以写好几篇文章(嗯,为自己偷懒找借口防火墙 实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包IDS 入侵检测系统IDS入侵检测基础知识 功能:依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。假如防火墙是一幢大楼的门锁...…
-
Word2Vec以及tf实现
引言?大部分内容摘自《TensorFlow实战》(黄文坚),算是读书笔记,也会在网上搜集一些相关的文章进行补充。我觉得这本书很nice呀,虽然没有对具体的神经网络进行详细的讲解,但是很通俗易懂,偏实战。也会有看了神经网络的详解然后雨里雾里,再在这边看了总结的豁然开朗之感。One-Hot Encoder最早的词向量表示方法为One-Hot Encoder,将字词转成离散的单独的符号:杭州 [0,0,0,0,0,0,0,1,0,……,0,0,0,0,0,0,0]上海 [0,0,0,0,1,0,...…
-
计算机网络相关
前言下面总结的内容都比较简略,可能是摘抄了《白帽子》,可能是网上搜集的资料,或者直接给出了别人总结的很好的文章供以后查看,因为每个点展开来将都可以写好几篇文章(嗯,为自己偷懒找借口OSI七层模型TCP TCP与UDP的区别UDP每次只能传输64kb,TCP则无限制 三次握手 四次握手 为何连接的时候是三次,关闭的时候是四次 因为当Server端收到Client端的SYN连接请求报文后,可以直接发送SYN+ACK报文。其中ACK报文是用来应答的,SY...…
-
web框架安全
前言下面总结的内容都比较简略,可能是摘抄了《白帽子》,可能是网上搜集的资料,或者直接给出了别人总结的很好的文章供以后查看,因为每个点展开来将都可以写好几篇文章(嗯,为自己偷懒找借口这部分我是真的不太懂,待补充Java反序列化漏洞深入理解JAVA反序列化漏洞Java安全之反序列化漏洞分析 Java序列化与反序列化 序列化:把Java对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的writeObject()方法可以实现序列化。...…
-
web常见漏洞原理与防御
前言下面总结的内容都比较简略,可能是摘抄了《白帽子》,可能是网上搜集的资料,或者直接给出了别人总结的很好的文章供以后查看,因为每个点展开来将都可以写好几篇文章(嗯,为自己偷懒找借口XSS 常见类型: 反射型XSS:把用户输入的数据“反射”给浏览器,即需要用户点击某链接 存储型XSS:把用户输入的数据存储在服务器 DOM Based XSS:也属于反射型XSS,修改页面的DOM节点形成XSS 其他类型的XSS:跨站的艺术-...…
-
同源策略与跨域
前言下面总结的内容都比较简略,可能是摘抄了《白帽子》,可能是网上搜集的资料,或者直接给出了别人总结的很好的文章供以后查看,因为每个点展开来将都可以写好几篇文章(嗯,为自己偷懒找借口什么是同源策略源就是[主机,协议,端口名]的一个三元组。(此外,cookie的同源策略是[主机,端口名],不包含协议,因此可以用http的cookie去覆盖https的cookie。)同源策略(Same Origin Policy, SOP):限制了来自不同源的”document“或者脚本,对当前”documen...…
-
LSTM相关的一些问题
前言最近在看深度学习相关的东西,就把一些自己想了很久,网上的答案也不是很详细的东西记录下来,可能会有部分错误,会不断改进哒。RNN 与 LSTM 相关基础 网上看到的RNN的网络图如下:但是也可以将RNN的网络图画成如下的模式:是不是很眼熟!对,LSTM只是在RNN的基础上进行了扩展,添加了很多gate来控制之前的记忆,以解决RNN可能引起的梯度弥散与梯度爆炸(这里可以参考YJango的循环神经网络——实现LSTM)的问题。 传统的LSTM的网络图看上去特别复杂: ...…
-
杂七杂八的安全tips
XSS TIPSRef:PayloadsAllTheThings 使用CRLF: (CR:\r,0x0d;LF:\n,0x0a) java%0d%0ascript%0d%0a:alert(0) XSS from Open URL - If it’s in a JS variable ";alert(0);// XSS from data:// wrapper http://www.example.com/redirect.php?url...…
-
这人生首三个弱弱的CVE
CVE-2017-17971一直觉得是大厂的通用型漏洞,非常高大上的那种。年末的前两天,狗科在推特上发现了一个做安全的小伙子,发了自己的第一个CVE截图。看了下漏洞详情,发现就是个在忘记密码处的很简单的XSS,几乎不用绕过。于是我也尝试在CVE details网站上找一些已经有CVE编号的CRM。Dolibarr CRM ,出于尝试的心态在忘记密码处试了xss语句,报错提示是出现了注入的语句,并且有对应的文件名。下载了源码,发现只对部分xss语句进行的过滤,onclick和onscroll...…
-
2018开年的碎碎念
关于此博客的闲置与启用问我闲置这么久的原因 ? 还不是因为我懒🤣…并且觉得markdown的图片大小很难控制。再次启用是因为今天清理Gmail邮箱的时候,看到有个妹子在17年7月份的时候,给我发邮件请教博客搭建相关的问题。嘤嘤嘤,我的Gmail塞满了twitter的垃圾邮件,并且觉得没人联系我,也懒得check,好愧疚。另外元旦假期的时候挖到了三个CVE,两个XSS,一个图片上传。准备把一些挖洞详情写在这里吧,总觉得在CSDN还有博客园写这些不太好。2018年的一些展望在深圳把毕设做完,五...…