汤青松-CSDN博客

原创深度学习-最简代码实现目标检测模型

在深度学习领域中，目标检测一直是一个备受关注的研究方向。为了更深入地理解深度学习目标检测的原理和实现，我写了一个简单的单目标检测项目。在这个项目中，我用最简单的方式实现了数据迭代器、网络模型、预测脚本和训练模型脚本，以及一些辅助脚本，通过这个过程提高对目标检测的认识和实践能力。

2024-02-03 00:33:55 853

原创通过运行中的容器生成 Docker Compose 配置文件

工具提供了从运行中的 Docker 容器中反向生成 Docker Compose 配置文件的便捷方法。文件可能包含了很多所有细节，特别是容器内部的数据卷、环境变量等。文件，不过正在运行的 Docker 容器还在，找了许久，发现一个方法可以从这些容器中生成一个等效的 Docker Compose 配置文件。现在，你已经成功地从运行中的容器生成了一个新的 Docker Compose 配置文件，并成功将服务重新搭建起来。使用以下命令，将运行中的容器反向生成 Docker Compose 配置文件。

2023-08-25 17:20:06 1567

原创 Node opensslErrorStack 错误解决方法记录

从Git仓库中下载了一个老项目，使用安装后没有问题，当我使用的时候遇到了 OpenSSL 相关错误，例如网上找了一下相关信息，然后顺利解决了，记录分享给大家。

2023-08-25 14:28:12 975

原创多种方式让你快速访问 GitHub

平时工作中，你可能和笔者一样会遇到访问 GitHub 缓慢或者打不开的问题。这里我总结了一些方法或许可以帮助你快速访问 GitHub，下载大项目还是获取小型代码和文档项目都有不同方案。一：使用镜像网站如果需要下载大型项目，特别是下载耗时较长(超过5分钟)且文件较大(超过30MB)的项目，强烈推荐使用代理网站或者将项目转移到 Gitee 上进行下载。国内有许多 GitHub 镜像网站可以加速访问，下...

2023-08-23 17:01:51 15503 1

原创 2023年“研究生科研素养提升”系列答案汇总

答案解析：二次文献又称二级次文献，是对一次文献进行加工整理后的产物，即对无序的一次文献的外部特征如题名、作者、出处等进行著录，或将其内容压缩成简介、提要或文摘，并按照一定的学科或专业加以有序化而形成的文献形式，如目录、文摘杂志（包括简介式检索刊物）等。答案解析：二次文献又称二级次文献，是对一次文献进行加工整理后的产物，即对无序的一次文献的外部特征如题名、作者、出处等进行著录，或将其内容压缩成简介、提要或文摘，并按照一定的学科或专业加以有序化而形成的文献形式，如目录、文摘杂志（包括简介式检索刊物）等。

2023-08-16 10:53:37 3115

原创代码审计系统 Swallow 开发回顾

做甲方安全建设,SDL是一个离不开的话题,其中就包含代码审计工作,我从最开始使用编辑器自带的查找,到使用fortify工具,再到后来又觉得fortify的扫描太慢影响审计效率,再后来就想着把fortify集成到自己的业务系统中去最近几年安全行业发展的很快,以前少见的组件安全产品也多了起来,可以自定义扫描规则的semgrep,还有GitHub的以及codeQL产品,工具越来越多,如果还是之前的单个工具打开模式效率也不会太高.所以想着干脆做一个代码聚合的审计系统。

2023-04-03 14:13:46 332

原创开源 Swallow 代码审计系统体验

最近在哔哩哔哩看到Swallow 代码审计系统的宣传,发现功能比较适合我目前的工作需要,安装使用了一下,简单做了一个笔记,分享给有需要的朋友.底层架构为蜻蜓编排系统,墨菲SCA,fortify,SemGrep,hema项目地址:https://github.com/StarCrossPortal/swallow安装与使用视频教程:https://www.bilibili.com/video/BV14h411V7m5/

2023-03-28 18:05:02 598

原创开源代码审计系统 Swallow 内测发布

支持多种静态代码分析工具的集成，这意味着它可以更全面地发现代码中的潜在漏洞和安全问题。例如，murphysec SCA可以帮助开发人员发现常见的安全漏洞，如SQL注入和跨站脚本攻击；Fortify则可以发现更高级的漏洞，如缓冲区溢出和代码注入；而Hema和Webshell可以帮助发现Web应用程序中的Webshell和恶意代码。使用蜻蜓安全的编排系统进行连接，这使得它更易于集成和使用。蜻蜓安全的编排系统可以将多个静态代码分析工具组合在一起，并按照用户的需求对其进行配置和管理。

2023-03-24 16:42:18 370

原创开源项目dolphin-ASM网络资产风险监测系统

项目简介dolphin 是一个的资产风险分析系统,用户仅需将一个主域名添加到系统中,dolphin会自动抓取与该域名相关的信息进行分析;例如同ICP域名,子域名,对应IP,端口,URL地址,站点截图,端口协议,邮箱地址,泄露信息等.前端使用了bootstrap框架,控制台使用的ThinkPHP; 底层数据来自于蜻蜓平台的数据聚合系统,调用了各类框架和API. GitHub地址: https://g...

2023-03-09 17:03:41 141

原创开源dolphin项目-ASM网络资产风险监测系统

dolphin 是一个的资产风险分析系统,用户仅需将一个主域名添加到系统中,dolphin会自动抓取与该域名相关的信息进行分析;例如同ICP域名,子域名,对应IP,端口,URL地址,站点截图,端口协议,邮箱地址,泄露信息等.

2023-03-09 11:29:14 175

原创蜻蜓安全工作台程序编排简要说明

如何自己新建工作流程?在工作台中新建一个工作流,点击编排流程,进入到工作流编辑页面,如下图所示画布区域介绍在工作流页面分为了4个区域:画布编排区域: 将节点通过连线组成由上而下的程序基础组件区域: 提供一些程序的基础功能,方便用户快捷构建程序市场组件区域: 用户在基础组件中填写了参数,主动共享出来的扩展组件节点配置区域: 用户单击画布中的节点,会自动弹出此区域,用于配置节点参数基础组件分类基础组件...

2022-12-30 00:00:00 172

原创 GitLab结合fortify实现自动化代码审计实践

比如说gitlab如何配置token、如何自动化把代码拉取到本地、如何调用fortify实现批量扫描等诸多繁琐问题。本篇文章以甲方安全代码安全建设为主线，分享如何让代码审计工具自动化扫描gitlab仓库里的代码。并且提供了一个便捷的实验环境供大家测试。

2022-12-08 17:48:55 1028

原创蜻蜓：GitLab结合fortify实现自动化代码审计实践

一、背景在甲方做安全的同学可能会有一项代码审计的工作，通常需要从gitlab把代码拉取下来，然后使用代码审计工具进行扫描，然后对结果进行人工确认；在这个流程中需要做的事情比较繁琐，比如说gitlab如何配置token、如何自动化把代码拉取到本地、如何调用fortify实现批量扫描等诸多繁琐问题。本篇文章以甲方安全代码安全建设为主线，分享如何让代码审计工具自动化扫描gitlab仓库里的代码。并且提供...

2022-12-08 00:00:00 173

原创高效率开发Web安全扫描器之路（一）

为了达到高效率的同时又能自主可控，我决定做一个有水平的缝合侠，简单理解就是我要把很多工具巧妙的融入到我开发的工具来，这里需要考虑的第一个问题是每个工具的使用方法、输入的参数、输出的结果都是不一样的，工具A的结果工具B不一定认识。作为一个只想挖漏洞的我，我更偏向于综合型的扫描器开发，可是综合型的扫描器开发难度真的很大，要清晰地了解各种漏洞的原理，而且还需要把他们使用代码去实现，如果是我一个人从头开发我压根做不到啊。我希望是我只要给他一个URL地址，它就可以帮我扫描网站的漏洞，以及这个主机本身的漏洞。

2022-11-30 14:06:36 1349 1

原创 WSL2安装systemd方法

确保systemd 已在 WSL 2 发行版中启用。1. 下载并运行最新的安装程序脚本。curl -L -O "https://raw.githubusercontent.com/nullpo-head/wsl-distrod/main/install.sh"chmod +x install.shsudo ./install.sh install此脚本安装发行版，但尚未启用它。2. 在发行版中启...

2022-11-16 00:00:00 633

原创 C语言中文网课后作业day01

一、第一天1、C 语言可以用来开发网站吗?C语言只能做一些简单的事情，不适合用来开发网站。2、很多人认为“当程序员像农民一样苦逼”，对此你是怎么认为的?是一种自我嘲讽3、就编程而言，可移植性意味着什么?一次编码，多平台运行，不用考虑多平台硬件差异，更注程序本身的逻辑。4、二进制、八进制、十进制、十六进制的前缀是什么?二进制：0b八进制：0十进制：正常数字十六进制：0x5、二进制 1011 1101...

2022-08-20 00:00:00 363

原创后端工程师入门安卓开发笔记(一)

背景摘要我是daxia，一个做了8年多的后端开发，对前端一直仅限于Web页面开发，对移动端开发和小程序开发基本零基础；有时候想做一些有意思的东西出来，用网页实现对手机支持现在是不理想，忙里偷闲学了学安卓，把一些我觉得是重点内容做一个笔记，也希望笔记对其他人有所帮助。一、开发步骤先写好界面->再写Activity的逻辑，界面别管样式，只关心你需要的交互元素就行。布局示例代码,一般用Linear...

2022-06-28 00:00:00 1302

原创蜻蜓低代码安全工具平台开发之路

蜻蜓内测版在五一前夕上线了，很快就积累的很多工具，用户数也逐渐增多，但我也逐渐发现这种堆积式的平台没太多技术含量；我在想是否可以做一些有挑战的事情，正好这几年低代码平台比较火热，我在想是否能在安全场景做一个低代码平台。在安全行业中，我们可以想到两类群体，开发大佬，和脚本小子；开发大佬能力强，可以写出很厉害的工具，但一个人或者一个团队的精力终究是有限的的，功能相对单一，很难做出类似想AWVS类似综合型工具；每个团队开发出来的工具都在某一方面比较好用，很难做到全方面，而且不会考虑太多外置接口用于集成上下游；而

2022-06-23 14:40:58 1060

转载蜻蜓安全编写插件模块 webcrack 实践

一、背景蜻蜓安全工作台是一个安全工具集成平台，集成市面上主流的安全工具，并按照工作场景进行编排，目前主要预制了四个场景：信息收集、黑盒扫描、POC批量验证、代码审计；最大特点就是集成的工具多、种类全，你可以将你想要的工具编排成任意一个场景，快速打造属于自己的安全工作台~在这篇文章中将讲解，如何支持自定义工具；工具中需要用docker镜像方式进行封装，下面说下工具如何封装。https://github.com/StarCrossPortal/QingTing我以弱口令检测工具WebCrack为例,讲解如何在

2022-05-09 20:56:57 616

原创 QingScan 支持墨菲安全项目 murphysec

背景最近遇到突发裁员，我面临失业危机的情况下发表了《QingScan作者紧急求职信》这篇文章，发出来之后传播力度比我想象中要大很多，十分感谢各位大佬帮推荐工作；最近找工作的方向是乙方安全创业型公司，因为我想在这份工作中全力去开发”QingScan”（会以公司名义开发一个新项目）这种工作流的工具,来回报大家的关注和支持，目前手里已经有几份offer，工作已基本确定，居家隔离结束后将入职。这几天得知了前同事从甲方出来创业，做一款叫做murphysec，是一款软件供应链安全分析的开源项目，这种项目之前在funpl

2022-04-11 12:53:18 6012

原创 QingScan 快速集成自定义工具

QingScan是一个漏洞扫描聚合平台,添加目标后30款工具自动调用；不少人也想自己添加工具进来，其实添加非常简单，我们已经帮你考虑好了，你不用写代码只需要在界面操作就可以完成。一、添加插件在黑盒扫描-》插件列表-》添加插件里填写插件信息在上图中填写的插件信息，插件名字可以自己随意命名，插件执行的命令就是你在命令行时候执行的命令，工具有一个对应的目标，这个目标用_####_替代;扫描类型分为域名、主机、代码、URL:域名是黑盒目标中的一个目标，一个站点通常是一个域名主机是

2022-01-14 15:27:23 297

原创 QingScan v1.1.0 版本发布会实录

一、背景QingScan今天晚上要发布v1.1.0版本了，这个版本黑盒详情页改版还是蛮大的，另外添加了队列功能和扫描进度信息；那今天晚上主要是讲解这个QingScan的一个新版本的一个使用方法以及搭建方法。那这次的搭建方法还是有所改变的。但是据总的来说了，方法还是一致的，在安装界面当中可能有一小部分的一些变化，然后也给大家整体的走一遍。那现在我就开始来安装。我们安装环节可能会比较快，那我们会花 5 分钟进行安装，然后花 10 分钟进行一个演练。 class="video_iframe rich_pages"

2022-01-11 18:30:36 502

原创聚合型代码审计工具QingScan使用实践

一、简介笔者最近看到很多公众号在推荐QingScan这款扫描器平台，也好奇了起来，花了半小时将QingScan搭建了起来；搭建起来之后，进入控制台中看了下QingScan的功能列表，发现除了公众号介绍的黑盒扫描功能外其实还有不少功能，我比较喜欢的是里面的白盒审计功能，里面集成了fortify、semgrep、河马webshell、kunlun-m、sonarqube、PHP依赖、Python依赖、java依赖的扫描工具,所以写下这篇文章跟大家分享一下~二、功能概览我安装好QingScan后，进入Qi

2022-01-09 14:26:10 2417

原创 linux自动清理Docker标准输出日志 - SegmentFault 思否

一、背景使用docker logs 查看容器日志太多，非常不方便，每次手动清理很麻烦，写了一个批量清理的shell脚本二、处理方法docker容器的日志都存储在 /data/docker/lib/docker/containers/目录，我们把对应的日志删除即可，这里可以新建一个shell脚本vim cleanDockerLog.sh把下面的内容放进去#!/bin/shecho "======== start clean docker containers logs ========"logs=$

2021-11-12 18:22:46 491

原创 linux自动清理Docker标准输出日志

一、背景使用docker logs 查看容器日志太多，非常不方便，每次手动清理很麻烦，写了一个批量清理的shell脚本二、处理方法docker容器的日志都存储在 /data/docker/lib/docker/containers/目录，我们把对应的日志删除即可，这里可以新建一个shell脚本vim cleanDockerLog.sh把下面的内容放进去#!/bin/shecho "=====...

2021-11-12 00:00:00 344

原创 linux 切换软件源到国内代理加速地址

一、背景经常会使用各种Linux的发行版本，很多时候需要使用yum和apt去安装软件，但是Linux镜像中的软件源使用的是国外的地址，访问速度非常慢，有些时候甚至访问失败，每次都需要去网上找对应的软件源地址。这种工作反反复复，我想着干脆一次性收集我常用的Linux发行版本的软件源替换方法，需要的时候直接将命令粘贴上去就可以了，现在将这个文章分享出来，希望能帮到有此类需求的朋友。二、Centos 替...

2021-09-17 00:00:00 203

原创 Clion Debug模式使用实践

一、背景最近为了考研，在学习C语言与数据结构，最开始使用Visual Studio 2019作为编辑器，但是总感觉不习惯；之前一直使用jetbrains公司的编辑器，正好发现C语言可以用CLion，但是发现不会使用他的调试功能，有些时候为了调试代码，还需要将代码复制到 Visual Studio 2019编辑器中；后来觉得太麻烦了，摸索了一段时间终于找到了CLion的调试方法，将方法记录下来给需要的同学吧。二、开启调试打开CLion，新建项目；接在以此在菜单中选择如下菜单file->sett

2021-09-16 22:37:42 1338

原创 Semgrep结合GitLab实现代码审计实践-服务端

一、背景前段时间在做代码审计，发现很多项目都存在安全隐患，大多数是来自于参数未过滤所造成的；为了解决这个问题，我将Web安全开发规范手册V1.0进行了培训，但是效果并不是太理想，原因是培训后开发者的关注点主要在功能完成度上，安全编码对于他们来说并不是核心指标；为了能让开发者时时刻刻关注安全问题，我在gitlab服务端放了一个钩子，这个钩子主要是将本次提交的代码文件进行了检测，遇到可能存在安全风险的问题将其输出出来，这样开发者能够对培训的内容有更深的感受，更注重编码时候的安全问题。二、操作步骤搭建环

2021-06-03 16:51:01 7814 3

原创 EISS2021-办公网零信任安全建设实践

一、背景大家好，非常高兴给大家分享《办公网零信任安全建设》这个话题。分享之前我想先简单介绍一下我们公司，趣加是一家游戏公司，主要了是面向海外市场，所以有很多同学了可能没有听过我们公司；但喜欢玩游戏的同学可能听过一个战队，就做fpx那其实就是我们公司的一个战队。二、分享内容我今天要分享的内容主要是三点首先是我们为什么要做零信任安全建设，前面很多老师讲过了零信任的一些应用场景和零信任的理念,这里了我简单提一下我们趣加为什么要去做零信任建设;第二个是我们如何去设计零信任架构，零信任建设主要是结合业

2021-05-24 12:09:35 316 1

原创使用Portainer部署Docker容器实践

一、背景最近在使用rancher2.5.5部署Redis主从复制的时候，发现rancher会产生很多iptables的规则，这些规则导致我们在部署了rancher的机器上无法使用Redis的主从复制功能，因为我对rancher和k8s的了解也仅限于了解网络架构和使用，对底层并不深入，短期内无法解决这个网络冲突的问题；因此我将rancher管理docker的模式换成使用protainer的方式，这个portainer相对来说更加轻量级，在搭建过程中也使用了几个小时学习，现在讲整个过程尽量复原给大家一些参考

2021-04-11 22:48:07 4784

jquery.cookie.js

空空如也