k4n5ha0

摘要： 最近有一篇写的很好的关于java17反序列化绕过模块化的文章：https://mp.weixin.qq.com/s/DrUUAJaLig_RtXZWaAm1IQ 关于防守本篇的方法也比较传统，直接jep290在java运行时增加命令行参数： -Djdk.serialFilter=!com.sun.o 阅读全文

摘要： 说一件有意思的事情，我当时选择职业方向的时候其实有另外一个选择，就是选择成为一个DBA，最近在学习大模型的时候我突然出现了啊哈时间，发现过去所学的知识出现了令人惊讶的串联，与大家分享。 一、大模型对软件研发的影响 通过与多位前后端开发同事的聊天得知：大模型写代码不仅方便还能避免代码中的一些常见错误。 阅读全文

摘要： 油猴中新建一个脚本，直接上代码： // ==UserScript== // @name helloTest // @namespace http://tampermonkey.net/ // @version 0.1 // @description try to take over the worl 阅读全文

摘要： 书接上文：https://www.cnblogs.com/k4n5ha0/p/18314781 一、最近学习机器学习期间，了解到了向量数据库： 1）可以将文本向量化存储（如上图，将不同语句向量化） 2）在 检索向量 上的时间复杂 和 对比向量相似度的时间复杂度（例如余弦相似度）充分调优 3）可以调用 阅读全文

摘要： 一、大模型能力和WAF配置员 今天试验了百度大模型文心一言，大模型可以通过学习键值对内容，输出较为安全的正则表达式： 下面给出一段更为严谨的文字 allowlist = [ "5f50bbb0-31ec-3117-6681-3478eb7b1918", "67c3a29f-ff70-20f3-45e 阅读全文

摘要： Druid内置了语义级的waf，为何我们要把waf能力集成到应用中呢？ 优点： 1）流量waf还是存在各种解析差异导致的bypass，类似于该 例子 2）k8s的逐渐流行，在应用中实现waf能力能减少架构层设计负担 缺点： 1）需要应用安全工程师不间断配合 2）对代码质量较好的开发团队会显得多此一举 阅读全文

摘要： 最近看了很多模型方面的理论，形成了自己对DevSecOps的新理解并设计了一套理论体系 一、两种模型 请先看图，一个应用针对外部流量和内部函数调用的基本截图如下 1）“请求响应”模型 在一个应用中，每一次请求都对应存在一个响应，对应这个模型的安全类产品有WAF（web应用防火墙），DAST（俗称漏扫 阅读全文

摘要： 首先推荐一个开源WAF： https://github.com/corazawaf/coraza 该产品改造了coreruleset为coraza-coreruleset以保证适配性： https://github.com/corazawaf/coraza-coreruleset 在研究过程中我发现 阅读全文

摘要： 这个思路主要解决MySQL 中的科学记数法漏洞使 AWS WAF 客户端易受 SQL 注入攻击这篇文章中的问题 目前基本上都使用阿里巴巴的druid并开启sql防火墙模式以语义层面拦截sql注入，如果极端情况下对sql解析结果不一致还是会产生sql注入 于是尝试了一下mysql自带的功能 1）EXP 阅读全文

摘要： 一、事情起因 去年底的时候我看到几个国内开源框架又出来SQL注入，联想起HVV时候的各种OA、ERP的SQL注入。 我觉得SQL注入这个事情是该有人管管了。 二、Mybatis的一点回顾 https://github.com/mybatis/mybatis-3/issues/1941 如上，我在20 阅读全文