CategoryCybersecurity

By using home broadband public IP, configuring port forwarding and DDNS, you can achieve accessing and controlling your home computer from anywhere. This includes accessing NAS, databases service, and smoothly controlling your home computer to access pictures, files, and use various software.

洗钱往往不是独立存在的，洗钱的前提是你有一大笔非法所得现金，这笔现金也许是通过诈骗、抢劫、偷盗、拾取、贩毒、卖淫、赌博等方式获得的。这笔现金你无论是去买车、买房，还是存到银行，都有可能遭到反洗钱调查。洗钱就是让这一大笔现金成为合法化收入。 20世纪20年代美国芝加哥黑手党的一个金融专家购买了一台投币式洗衣机，开了一家洗衣店，每天晚上结算当天洗衣收入时，他将非法所得的赃款加入其中，再向税务局申报纳税，扣税后的非法所得就在形式上变成了他的合法收入，“洗钱”一词而得名。 有些人在这个时候会有些疑问 我之前也拿着大麻袋去买过车，为什么能成功？ 我不买大件商品，就日常拿着现金消费不行吗？ 反洗钱（AML） 先了解下反洗钱的常用手法，在国内，主要参照《中华人民共和国反洗钱法》、《金融机构反洗钱规定》。 携带大额现金出境。...

蚂蚁新人培训班上，有新来的同学问我有什么经验分享给他们？我回想了这么多年，如果只说一条的经验的话，就是把每件事做到最好，做到你自己认为的最好，做到你团队内最好，做到公司做好，做到行业最好。 我没有其他人的名校、也没有很多人的天赋，如今更没法和别人拼体力。但我知道深入每一件事，比别人多思考一些，多行动一些，在现有基础上做的再好一些，就能有不一样的效果。 🌰GitHub敏感信息泄漏监控...

不知道对方的能力，怕吓跑攻击者。设置飞行模式，放在法拉第袋中，线下的会议室沟通。 iMessage 0-click 0day：攻击者通过iMessage发送带有恶意附件的消息给受害者，受害者不会有任何感知（消息提醒、消息记录等），即可触发漏洞。 CVE-2023-41990，Apple独有的ADJUST TrueType 字体指令中的RCE，该问题在1990就存在，后来被补丁删除。 修补 JavascriptCore库环境以执行用Javascript 编写的权限提升漏洞，混淆了JS但还有11000行，主要用于JavaScriptCore和内核内存解析和操作。利用JavaScriptCore调试功能 DollarVM($vm)来获得从脚本操作 JavaScriptCore 内存并执行本机 API 函数的能力。 CVE-2023...

Secret Key（FlasK_Login） Flask_Login维护Flask Session，实现登陆、退出等会话管理功能。Flask Login使用的是客户端的方式储存会话信息，也就是将会话相关身份信息编码后储存在客户端Cookie中，并使用密钥进行签名。而一般的网站使用的是服务端会话方案，客户端的SESSION只是一个标识符，传到服务端后会通过标识符找到对应的用户身份信息。 客户端储存SESSION信息的方案优势是处理会话信息时速度比较快，因为没有服务端储存步骤。后段服务比较容易横向扩容，因为不用去解决一个用户访问多个服务器间的会话同步问题。缺点也很明显，客户端会话模式中编码部分的内容是可以随意解开的，所以不能储存敏感信息。另外储存内容大小也受到Cookie大小限制，默认4KB。同时Flask无法在服务端直接失效某个会话。 # 一个SESSION例子 # ...

目录 AI、LLM、AgentAI Security数据投毒攻击模型对抗攻击模型窃取prompt injection（提示词注入）提示词泄漏越狱指令干扰修改记忆/上下文干扰RCEDoS问答数据窃取文件中含有恶意提示词网站中含有恶意提示词数据传输外部 AI、LLM、Agent ChatGPT、Gemini、通义千问等大语言模型LLM都使用过，他让我们能够通过自然语言了解各种我们原先需要自主检索的知识，相当于我们可以随时和一个知识面极广的人交流任何问题。交互主要通过问答形式，根据我们的问题（Prompt）进行回答，问题问的好不好决定了回答的质量。但他无法做一些知识问答以外的事情，比如帮我分析一个网站是否安全。 分析一个网站是否安全需要用到很多工具（可以是插件、API、代码等），如果让LLM拥有调用这些工具的能力，就能够实现知识问答以外的能力。LangChain...