k4n5ha0

摘要： 书接上文：https://www.cnblogs.com/k4n5ha0/p/18314781 一、最近学习机器学习期间，了解到了向量数据库： 1）可以将文本向量化存储（如上图，将不同语句向量化） 2）在 检索向量 上的时间复杂 和 对比向量相似度的时间复杂度（例如余弦相似度）充分调优 3）可以调用 阅读全文

摘要： 一、大模型能力和WAF配置员 今天试验了百度大模型文心一言，大模型可以通过学习键值对内容，输出较为安全的正则表达式： 下面给出一段更为严谨的文字 allowlist = [ "5f50bbb0-31ec-3117-6681-3478eb7b1918", "67c3a29f-ff70-20f3-45e 阅读全文

摘要： Druid内置了语义级的waf，为何我们要把waf能力集成到应用中呢？ 优点： 1）流量waf还是存在各种解析差异导致的bypass，类似于该 例子 2）k8s的逐渐流行，在应用中实现waf能力能减少架构层设计负担 缺点： 1）需要应用安全工程师不间断配合 2）对代码质量较好的开发团队会显得多此一举 阅读全文

摘要： 最近看了很多模型方面的理论，形成了自己对DevSecOps的新理解并设计了一套理论体系 一、两种模型 请先看图，一个应用针对外部流量和内部函数调用的基本截图如下 1）“请求响应”模型 在一个应用中，每一次请求都对应存在一个响应，对应这个模型的安全类产品有WAF（web应用防火墙），DAST（俗称漏扫 阅读全文

摘要： 首先推荐一个开源WAF： https://github.com/corazawaf/coraza 该产品改造了coreruleset为coraza-coreruleset以保证适配性： https://github.com/corazawaf/coraza-coreruleset 在研究过程中我发现 阅读全文

摘要： 这个思路主要解决MySQL 中的科学记数法漏洞使 AWS WAF 客户端易受 SQL 注入攻击这篇文章中的问题 目前基本上都使用阿里巴巴的druid并开启sql防火墙模式以语义层面拦截sql注入，如果极端情况下对sql解析结果不一致还是会产生sql注入 于是尝试了一下mysql自带的功能 1）EXP 阅读全文

摘要： 一、事情起因 去年底的时候我看到几个国内开源框架又出来SQL注入，联想起HVV时候的各种OA、ERP的SQL注入。 我觉得SQL注入这个事情是该有人管管了。 二、Mybatis的一点回顾 https://github.com/mybatis/mybatis-3/issues/1941 如上，我在20 阅读全文

摘要： lr日志分为两个部分 1）vgen试运行产生的日志 2）在controller中执行产生的日志 【Vuser】——【Run Time Settings(双击)】——【Log】 【Controller】——【Run Time Settings(单击)】——【Log】 【Enable logging】启 阅读全文

摘要： 模拟大量用户并发操作时，单台压力机无法满足要求，所以就需要进行多台联合进行压力测试。 具体实施策略如下： 设备：2台压力测试机或更多（根据用户量判断测试机台数，单个模拟用户占用内存2.5MB），其中1台做为主要主控机，其余为压力机，压力机均需要安装LoadRunner且使用管理员身份运行。 1）设置 阅读全文

摘要： 下载地址： https://www.pilotlogic.com/sitejoom/index.php/downloads.html 整体使用过于傻瓜化就不描述使用说明了 需要注意的是由于使用默认的php设置所以php的性能不佳 需要设置如下两个系统环境变量（推荐使用 Rapid Environme 阅读全文