- 博客(450)
- 资源 (7)
- 问答 (4)
- 收藏
- 关注
RSS订阅
原创 Go-Golang学习总结笔记
资源某hub会审核不通过,自己去找吧书籍网站基础go官方中文网菜鸟教程C语言网go语言中文网golang系列视频基础安装依赖管理数据类型变量和常量流程控制函数包面向对象编程提高...
2021-04-17 10:16:20
26998
41
原创 网络安全-自学笔记
目录WEB(应用)安全前端安全xss攻击后端安全文件上传漏洞WebShell解析安全数据安全sql注入通信安全WEB(应用)安全前端安全xss攻击后端安全文件上传漏洞WebShell解析安全数据安全sql注入网络安全-sqlmap学习笔记通信安全网络-http协议学习笔记(消息结构、请求方法、状态码等)...
2020-12-01 09:28:44
153106
106
原创 【python总结】python学习框架梳理
目录基础注释与变量名等基本规则关键字操作符数字字符串条件控制序列列表元组映射集合字典函数函数基础内置函数有哪些?模块数字字符串OSlogging、argparase、cmd综合模板错误和异常面向对象提高文件操作函数式编程正则表达式网络编程多线程与多进程本专栏不适合才学python的新手,适合学过python,但总体框架不清晰的朋友。跟我一起总结提升吧!抓住三个点:操作符、、内置函数、
2020-09-23 22:46:52
27514
9
原创 OJ-OJ网站题目分类,分难度整理笔记(leetcode、牛客网)
目录前言线性表栈队列树图查找排序递归递推贪婪动态规划数论模拟简单前言目录与数据结构(严蔚敏版)与算法的实现(含全部代码)相对应,为这个专栏的实战,为了更方便,树之前使用STL进行解题,也算专栏C++ STL容器用法示例大全的实战。语言使用c++,每篇文章题目为网站-题目(难度类型),每篇文章分为题目、思路、更优题解、提升笔记、优化代码、全部代码。用于个人笔记,分享思路与代码优化。线性表栈队列树...
2020-08-28 10:07:13
23322
1
原创 数据结构(严蔚敏版)与算法的实现(含全部代码)
目录基础c/c++ 代码优化及常见错误 c语言位运算的妙用-程序优化c/c++进制转换方法汇总(含全部代码) 二进制数-北邮2012研究生复试质因子分解除树和图外的数据结构可以使用STL: C++ STL的使用数据结构线性表顺序表 循环左移(2010联考真题)单链表 单链表相邻结点逆置(2019北邮考研真...
2018-09-13 22:18:14
136171
65
原创 python-redis缓存装饰器
key生成:用户不指定key时需要自动生成,统一前缀方便后序更新、删除指定key:用户可以指定key(redis_decorator无法指定key)缓存和获取功能常见类型的缓存支持用户自定义类型可以继承抽象类,实现序列化和反序列化方法(redis_decorator没有)指定key的更新(包没有)指定或批量key的删除(redis_decorators只有删除指定key)支持协程(包没有)
2024-03-17 17:53:07
628
原创 python-mysql协程并发常用操作封装
协程异步操作MYSQL是常用的,博主这里在GitHub上找了两个包,databases和aiomysql,第一个包除了mysql外还支持其他的数据库,且操作MYSQL时底层也是使用的aiomysql,但文档内容比较少,所以选择了对aiomysql进行封装。使用安装即可。
2024-02-24 20:36:50
490
原创 网络安全-真实ip获取&伪造与隐藏&挖掘
proxy protocol没有研究,和TOA差不多,按照协议发包就行了,实现就交给读者吧。TOA的伪造方式还是不错的,非linux下没有btftools,可以自己写一个代理,把浏览器的流量转发到本地代理,代理的功能就是把TOA改一下。一些代理隐藏ip还是不错的,除非网站从开始没有使用cdn、部分使用cdn,或网站服务器有其他服务导致真实ip发出包了。该博客作者我也问了,一开始就使用了CDN,也没有其他子域名、服务,应该是无法找到真实IP了。
2023-12-31 17:21:02
2954
3
原创 云安全-wiz eks-cluster-games题解与思考
发现并不行,auience是不对的,翻到前面的限制发现audience必须sts.amazonaws.com。由于没有secrets的list权限,我们需要先通过pods来确定secret的名称。可以看到有secrets的get和pods的list、get权限。解密发现和策略的限制能对的上,那看来其实是用debug-sa的。攻击到集群,可以执行命令后,首先要做的就是查看权限,常用命令。允许列出和读取s3桶的对象,那应该就是flag对象了。进行了类似题目2的尝试,失败了,原因是没有权限。
2023-12-16 21:57:35
994
原创 数据库-PostgreSQL学习笔记
下载镜像:启动容器:腾讯云免费领用1个月学习中心-免费领取一个月博主这里选择了白嫖~~~windows下使用pgAdminlinux下使用psql腾讯云提供了网页版的连接方式,博主直接使用这个,免得安装其他的了。语法:示例:使用数据库语法例如:腾讯云上,点一下就可以了。退出当前数据库删除数据库语法:示例:语法:示例:语法:示例:插入数据通过逗号分隔values后面的数据元组,可以批量插入。除此之外,可以从已有表进行也可以使用COPY命令进行本地文件读取,然后
2023-12-03 17:21:44
1250
原创 云原生-AWS EC2使用、安全性及国内厂商对比
EC2(Elastic Compute Cloud)是AWS云中的服务器,提供按需、可扩展的计算能力。本文以Linux为例。下图是EC2的位置。Instance就是EC2,它被Security group(安全组)保护着,持久性存储使用了EBS( Elastic Block Store)。在安全组外面是子网,子网外面是VPC,VPC通过网关与外部通信。默认安全组允许所有出流量,但入流量仅允许绑定该安全组的资源。自定义安全组允许所有出流量,入流量不允许,需要添加规则来进行控制进出流量。
2023-10-29 20:15:01
1833
原创 Kafka入门,这一篇就够了(安装,topic,生产者,消费者)
任何发布到partition的消息都会被直接追加到partition尾部,每条消息的位置称为offset,offset是一个long型数字,它唯一标记一条消息。Kafka每个partition中的消息在写入是都是有序的,消费时,每个partition只能被每一个group中的消费者消费,因此,topic下只有一个partition时一定有序。topic的partition数量可以在创建时配置,partition数量决定了每个消费者组中并发消费者的。已发布的消息保存在一组服务器中,称为Kafka集群。
2023-09-10 10:42:28
717
1
原创 Python-ElasticSearch客户端的封装(聚合查询、统计查询、全量数据)
官方提供了两个客户端elasticsearch、elasticsearch-dsl第二个是对第一个的封装,类似ORM操作数据库,可以.filter、.groupby,个人感觉很鸡肋,star数也不多。平时使用的时候一般会在kibana上测试,然后直接把query拷贝过来获取更多数据,所以这里做下第一个的封装。
2023-07-30 17:04:56
1155
原创 漏洞复现-yapi远程执行命令漏洞复现
YApi 是高效、易用、功能强大的 api 管理平台是国内某旅行网站的大前端技术中心开源项目,使用mock数据/脚本作为中间交互层,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。这里使用的JayFong的docker-YApi,WEB UI在40001端口。启动后发现管理员账号密码不对,应该是环境变量在容器中没有使用,查看配置文件找到管理员账号。网站开放注册功能时可随意注册,设置全局mock脚本可执行任意代码。通过官方文档学习如何新建接口。查看安装脚本,找到密码。
2023-07-22 16:37:21
534
原创 漏洞复现-CVE-2023-33246 Apache RocketMQ RCE漏洞原理与复现
服务端管理员调用的接口没有鉴权,且将内容直接拼接到执行的命令,没有做过滤。
2023-07-15 21:35:02
2748
原创 漏洞复现-CVE-2022-24112 APISIX远程代码执行漏洞原理与复现
由于代码逻辑问题,没有覆盖为真实ip,导致绕过了请求限制,且发送请求有默认的key,通过发送请求注册路由,并使用batch-requests插件执行了命令。
2023-07-15 11:35:43
1177
原创 JAVA-MAVEN初学者教程(配置、pom.xml、依赖管理等)
常用来定义一些版本等,后序可以使用,方便修改,类似编程时的全局变量。使用时使用${标签值即可}
2023-06-18 17:02:59
8239
原创 k8s学习-CKS考试必过宝典
使用用户工作负载的静态分析(例如kubernetes资源,Docker文件)在主机和容器级别执行系统调用进程和文件活动的行为分析,以检测恶意活动。保护您的供应链:将允许的注册表列入白名单,对镜像进行签名和验证。检测物理基础架构,应用程序,网络,数据,用户和工作负载中的威胁。设置适当的OS级安全域,例如使用PSP, OPA,安全上下文。谨慎使用服务帐户,例如禁用默认设置,减少新创建帐户的权限。检测攻击的所有阶段,无论它发生在哪里,如何扩散。考后24小时会收到结果,祝大家考试成功!
2023-06-12 21:47:34
1192
原创 python学习-代码调试器pdb的使用教程
因此,如果插入符号位于已执行的行,则程序将恢复以进一步执行,因为无法回滚到以前的断点。:如果选择此检查命令,则单独(异步)加载调试器中的变量。在这种情况下,如果加载变量需要很长时间,调试器会显示消息,如果变量太慢,则只有在调试器之后才会显示其值或消息。第二个方式优雅了一些,但有的时候就是写的小脚本,不需要保存日志,比较麻烦。单击此按钮可执行程序,直到当前方法或文件中的下一行,跳过当前执行点引用的方法(如果有)。这两个还有一些缺点,例如,打印的不够多时,还需要添加print或log,然后再次运行。
2023-06-11 15:34:33
3256
原创 k8s学习-CKS真题-日志审计 log audit
-audit-log-path 指定用来写入审计事件的日志文件路径。不指定此标志会禁用日志后端。- -audit-log-maxsize 定义审计日志文件轮转之前的最大大小(兆字节)- -audit-log-maxbackup 定义要保留的审计日志文件的最大数量。- -audit-log-maxage 定义保留旧审计日志文件的最大天数。- -audit-policy-file 指定审计策略文件。修改kube-apiserverl.yaml配置文件。
2023-05-18 19:41:11
781
原创 k8s学习-CKS真题-TLS安全配置
如果出现:Failed to restart etcd.service: Unit etcd.service not found.,可以查找kube-system下的etcd,例如。
2023-05-17 20:40:32
994
1
原创 k8s学习-CKS真题-ImagePolicyWebhook容器镜像扫描
启用ImagePolicyWebhook插件,确认–admission-control-config-file选项已有配置文件并挂载。把defaultAllow由true改为false。考试时应该已经挂载,可以检查一下,没有自行添加。在cluster下添加server。修改api-server配置文件。做题的时候按照以下顺序。不完整的准入配置文件。修改kube配置文件。
2023-05-17 20:25:26
1165
原创 k8s学习-CKS真题-利用AppArmor进行应用行为限制
在 cluster 的工作节点 node02 上,实施位于 /etc/apparmor.d/nginx_apparmor 的现有 APPArmor 配置文件。编辑位于 /cks/KSSH00401/nginx-deploy.yaml 的现有清单文件以应用 AppArmor 配置文件。请注意,考试时,考题里已表明 APPArmor 在工作节点上,所以你需要 ssh 到开头写的工作节点上。查看配置文件,加载配置文件,查看加载的配置中是否有对应profile。最后,应用清单文件并创建其中指定的 Pod。
2023-05-13 14:59:56
749
原创 k8s-CKS真题-故障排查Sysdig & falco
博主下载的sysdig-0.31.5-x86_64.tar.gz,之后把可执行文件移动即可。请注意,考试时,考题里已表明 sysdig 在工作节点上,所以你需要。看了一下,是操作系统层面的问题,直接在模拟环境下做题了。在下方github参考链接的Release下载即可。查看tomcat123 pod是否存在。ubuntu 安装sysdig。如果没有docker,使用。查看一下falco是否安装。使用sysdig做检测。如果都没有,可以使用。写一个falco规则。
2023-05-13 14:59:27
2498
6
原创 k8s-CKS真题-k8s安全策略PodSecurityPolicy
可以看到有个Warning提示,1.25版本之后就没有psp了,之后这个考题可能变动。或者使用yaml文件。
2023-05-10 19:42:56
397
原创 k8s学习-CKS真题-启用API Server认证,禁止匿名访问
ps:考试环境应该是已有的,–user=system:anonymous的clusterrolebinding。创建一个名为system:anonymous的clusterrolebinding。查询用户system:anonymous的clusterrilebinding。确保只有认证并且授权过的 REST 请求才被允许。这个等我考前有模拟环境时再做补充。删除题目要求的角色绑定。
2023-04-22 10:49:43
944
原创 k8s学习-CKS真题-Trivy扫描镜像安全漏洞
使用 Trivy 开源容器扫描器检测 namespace kamino 中 Pod 使用的具有严重漏洞的镜像。注意:Trivy 仅安装在 cluster 的 master 节点上,在工作节点上不可使用。查找具有 High 或 Critical 严重性漏洞的镜像,并删除使用这些镜像的 Pod。你必须切换到 cluster 的 master 节点才能使用 Trivy。一个个镜像手动扫描也不方便,问了下ChatGPT,搞成了一条命令。读者根据自己的操作系统版本安装即可。第一需要下载库(考试时不需要)
2023-04-16 12:02:35
964
1
原创 k8s-CKS真题-CIS基准测试与安全扫描
-authorization-mode stringkubelet 服务器的鉴权模式。当 --config 参数未被设置时,默认值为 AlwaysAllow,当使用了 --config 时,默认值为 Webhook。- -authorization-mode strings 在安全端口上进行鉴权的插件的顺序列表。1.2.18 Ensure that the --insecure-bind-address argument is not set FAIL (现在没有了,也可以手动检查下)
2023-04-16 12:01:13
798
原创 网络安全-JDBC反序列化漏洞与RCE
可以看到执行语句后,在生成结果集时使用了ResultUtil的resultSetToMap函数,继续点击去,可以看到使用了getObject和readObject,而readObject就在反序列化时自动调用。Y4tacker师傅的脚本会读取a文件,没有的话就使用默认的,也能达到RCE的效果,这个在url中就不必指定user了。这里只需要连接就行,没有安装的话可以使用Java的mysql jdbc包连接也可以。虽然演讲者给出了调用链,但是没有提供恶意服务器,这就需要我们抓包,编写一个假的服务器。
2023-04-16 11:58:59
2484
原创 k8s学习-CKS真题-Runtime设置gVisor
由于我的集群版本已经是v1.25了,改为了containerd,所以需要修改一下配置。添加以下内容到配置中,与runc对齐。重启containerd。
2023-04-08 10:42:52
1674
5
原创 k8s学习-CKS真题-Dockerfile和deployment优化
分析和编辑给定的 Dockerfile /cks/docker/Dockerfile(基于 ubuntu:16.04 镜像),只需修改现有的配置设置让以上两个配置设置都不再有安全/最佳实践问题。注意:如果您需要非特权用户来执行任何项目,请使用用户 ID 65535 的用户 nobody。分析和编辑给定的清单文件 /cks/docker/deployment.yaml ,并修复在文件中拥有的突出的安全/最佳实践问题的两个指令。并修复在文件中拥有突出的安全/最佳实践问题的两个字段。只修改即可,不需要创建。
2023-04-01 10:26:56
996
7
原创 k8s学习-CKS真题-secret创建、使用
Task在 namespace istio-system 中获取名为 db1-test 的现有 secret 的内容将 username 字段存储在名为 /cks/sec/user.txt 的文件中,并将 password 字段存储在名为 /cks/sec/pass.txt 的文件中。注意:你必须创建以上两个文件,他们还不存在。注意:不要在以下步骤中使用/修改先前创建的文件,如果需要,可以创建新的临时文件。在 istio-system namespace 中创建一个名为 db2-test 的新
2023-03-12 09:32:25
576
原创 k8s学习-CKS真题-网络策略精细化控制
解释:对于dev-team命名空间下标签打了run=products-service的Pod的如流量进行限制,打了kubernetes.io/metadata.name=qaqa标签的命名空间下的Pod都可以访问,打了environment=testing标签的Pod都可以访问。创建一个名为 pod-restriction 的 NetworkPolicy 来限制对在 namespace dev-team 中运行的 Pod products-service 的访问。创建products-service。
2023-03-04 19:30:01
1228
3
原创 Python-datetime、time包常用功能汇总
timedelta(days=0, seconds=0, microseconds=0, milliseconds=0, minutes=0, hours=0, weeks=0) 用于表示两个时间的间隔。以补零后的十进制数表示的一年中的周序号(星期日作为每周的第一天)。以补零后的十进制数表示的一年中的周序号(星期一作为每周的第一天)。以补零后的十进制数表示的小时(24 小时制)。补零后,以十进制数表示的,不带世纪的年份。以补零后的十进制数表示的一年中的日序号。补零后,以十进制数显示的月份中的一天。
2023-02-24 21:16:57
694
1
原创 python-协程(async、await关键字与asyncio)
进程和线程是计算机提供的,协程是程序员创造的,不存在于计算机中。协程(Co-routine),也可称为微线程,或非抢占式的多任务子例程,一种用户态的上下文切换技术(通过一个线程实现代码块间的相互切换执行)在一个线程(协程)中,遇到io等待时间,线程可以利用这个等待时间去做其他事情。
2023-02-05 17:34:44
4019
5
原创 k8s学习-CKS真题-RoleBinding
生成web-pod.yaml,修改添加serviceAccountName,之后创建。查找service-account-web绑定的role。
2023-02-05 09:30:09
823
原创 k8s学习-CKS真题-Pod指定ServiceAccount
2. 使用 /cks/sa/pod1.yaml 中的清单文件来创建一个 Pod,使用上面创建的ServiceAccount。1.在现有 namespace qa 中创建一个名为 backend-sa 的新 ServiceAccount, 确保此。3. 最后,清理 namespace qa 中任何未使用的ServiceAccount。这块实际操作的时候yaml敲成了yml,影响不大,就没有重新弄了。ServiceAccount 不自动挂载 API 凭据。在创建sa的yaml中添加。
2023-02-04 16:06:26
1028
3D天空迷宫.zip
2019-07-01
OpenGL天空盒
2019-04-23
OpenGL使用Assimp库加载3d模型
2019-04-23
OpenGL实现3d场景漫游
2019-04-18
Jsp购物网站-TdSnacks
2018-07-06
在Qt5中,按钮设置了背景图片,但是按钮上面还有字,怎么让背景图片模糊些?
2019-05-10
QT5中如何使用glfw库,与opengl结合较好的gui推荐?
2019-04-20
Flume运行报错,显示没有配置过滤器和正则表达式无效
2019-03-14
c++为什么在宏定义大于4万以后就会出错?
2019-02-28
TA创建的收藏夹 TA关注的收藏夹
TA关注的人