如果这样，那就那样，否则就……。还不明白吗？了解了 Bash Shell 脚本中的 if-else 语句后就明白了。 Bash 支持 if-else 语句，以便你可以在 shell 脚本中使用逻辑推理。 通用的 if-else 语法如下： if [ expression ]; then ## 如果条件为真则执行此块，否则转到下一个 elif [ expression ]; then ## 如果条件为真则执行此块，否则转到下一个 else ## 如果以上条件都不成立，则执行此块 fi 正如你所注意到的： elif 用于 “否则如果” 类型的条件。 if-else 条件始终以 fi 结尾。 使用分号 ; 和 then 关键字 在展示 if 和 else-if 的示例之前，我先分享一下常见的比较表达式（也称为测试条件）。 测试条件 以下是可用于数字比较的测试条件运算符： 条件 当满足以下条件时为真 $a -lt $b $a < $b（$a 小于 $b） $a -gt $b $a > $b（$a 大于 $b） $a -le $b $a <= $b（$a 小于等于 $b ） $a -ge $b $a >= $b （$a 大于等于 $b） $a -eq $b $a == $b $a -ne $b $a != $b 如果你要比较字符串，可以使用以下测试条件： 条件 当满足以下条件时为真 "$a" = "$b" $a 与 $b 相同 "$a" == "$b" $a 与 $b 相同 "$a" != "$b" $a 与 $b 不同 -z "$a" $a 为空字符串 文件类型检查也有条件： 条件 当满足以下条件时为真 -f $a $a 是一个文件 -d $a $a 是一个目录 -L $a $a 是一个链接 现在你已经了解了各种比较表达式，让我们在各种示例中看看它们的实际应用。 在 Bash 中使用 if 语句 让我们创建一个脚本来告诉你给定的数字是否为偶数。 这是我的脚本，名为 even.sh： #!/bin/bash read -p "Enter the number: " num mod=$(($num%2)) if [ $mod -eq 0 ]; then echo "Number $num is even" fi 当模数运算（%）整除给定数字（本例中为 2）时，它返回零。 ? 特别注意空格。左括号和右括号与条件之间必须有空格。同样，条件运算符（-le、== 等）前后必须有空格。 这是我运行脚本时显示的内容： 你是否注意到，当数字为偶数时，脚本会告诉你，但当数字为奇数时，脚本不会显示任何内容？ 让我们使用 else 来改进这个脚本。 使用 if else 语句 现在我在前面的脚本中添加了一条 else 语句。 这样，当你得到一个非零模数（因为奇数不能除以 2）时，它将进入 else 块。 #!/bin/bash read -p "Enter the number: " num mod=$(($num%2)) if [ $mod -eq 0 ]; then echo "Number $num is even" else echo "Number $num is odd" fi 让我们用相同的数字再次运行它： 正如你所看到的，该脚本更好，因为它还告诉你该数字是否为奇数。 使用 elif（否则如果）语句 这是一个检查给定数字是正数还是负数的脚本。在数学中，0 既不是正数也不是负数。 该脚本也检查了这一事实。 #!/bin/bash read -p "Enter the number: " num if [ $num -lt 0 ]; then echo "Number $num is negative" elif [ $num -gt 0 ]; then echo "Number $num is positive" else echo "Number $num is zero" fi 让我运行它来涵盖这里的所有三种情况： 用逻辑运算符组合多个条件 到目前为止，一切都很好。但是你是否知道通过使用与（&&）、或（||）等逻辑运算符可以在一个条件中包含多个条件？ 它使你能够编写复杂的条件。 让我们编写一个脚本来告诉你给定的年份是否是闰年。 你还记得闰年的条件吗？ 它应该被 4 整除，但如果它能被 100 整除，那么它就不是闰年。 但是，如果能被 400 整除，则为闰年。 这是我的脚本。 #!/bin/bash read -p "Enter the year: " year if [[ ($(($year%4)) -eq 0 && $(($year%100)) != 0) || ($(($year%400)) -eq 0) ]]; then echo "Year $year is leap year" else echo "Year $year is normal year" fi ? 注意上面双括号 [[ ]] 的使用。如果你使用逻辑运算符，则这是强制性的。 通过使用不同的数据运行脚本来验证脚本： ?️ 练习时间 让我们做一些练习吧 ? 练习 1：编写一个 Bash Shell 脚本，检查作为参数提供给它的字符串的长度。如果未提供参数，它将打印 “empty string”。 练习 2：编写一个 Shell 脚本来检查给定文件是否存在。你可以提供完整的文件路径作为参数或直接在脚本中使用它。 提示：文件使用 -f 选项 练习 3：通过检查给定文件是否是常规文件、目录或链接或者是否不存在来增强之前的脚本。 提示：使用 -f、-d 和 -L ...

HDD是一种传统的存储设备，其工作原理是利用磁性技术来存储和检索数据。它的主要优势之一是成本效益。 与SSD相比，HDD的价格更低，容量更大，这使得它成为存储大量数据的理想选择。 对于需要存储海量数据、成本敏感的项目，HDD可能是更好的选择。 然而，HDD在性能方面存在一些局限性。 由于其机械性能，HDD的读写速度相对较慢，访问时间较长。 这在需要快速数据检索和高吞吐量的应用中可能导致性能瓶颈。 此外，HDD较易受冲击和振动影响，可能导致损坏或故障。 ...

SSD采用闪存技术来存储数据，相比HDD具有更快的读写速度和更短的访问时间。 这使得SSD在许多场景下能够提供更高的性能，特别是在需要快速随机访问的应用中，如虚拟化、数据库和Web服务器。 另外，SSD没有机械部件，因此更耐受冲击和振动，具有更高的可靠性。 然而，SSD的主要缺点是价格较高。 相比之下，SSD的价格通常更高，容量较小。 这对于需要大量存储空间的项目可能会成为限制因素。 但随着技术的发展，SSD的价格逐渐下降，容量逐渐增加，逐渐成为越来越受欢迎的选择。 ...

特点 HDD SSD 工作原理 机械旋转部件和磁性技术 闪存技术 读/写速度 相对较慢 更快 随机访问速度 较慢，受寻道和旋转延迟影响 更快，无寻道和旋转延迟 访问时间 较长，受机械部件影响 更短 可靠性 机械部件易受冲击和振动影响 无机械部件，较耐久 耐用性 机械部件易损坏 抗冲击和振动 能耗 较高，机械部件需要较多能量 较低，节能 发热量 较高，机械部件运转产生热量 较低，不产生太多热量 噪音 机械运动产生噪音 无噪音 容量 容量较大 容量较小 价格 通常较便宜 通常较贵 适用场景 大容量存储，成本敏感项目 高性能、速度和可靠性要求 长期闲置可能性 可能引起数据丢失或降级 数据保持时间较长 数据持久性（断电情况） 需要时间将数据写入磁盘，较易丢失 数据写入速度快，断电时更可靠 技术发展趋势 逐渐被淘汰，但仍用于大容量存储 不断发展和改进，逐渐普及 ...

在选择服务器存储方案时，需要综合考虑多个因素： 性能需求： 如果项目需要高性能、快速的数据访问速度，特别是在虚拟化、数据库等应用中，SSD可能更适合。 存储容量： 如果项目需要大量存储空间，HDD可能是更经济的选择。但是，如果预算允许，也可以考虑使用更大容量的SSD。 可靠性和耐用性： 如果项目需要更高的可靠性和抗冲击性，SSD可能更合适，因为它没有机械部件。 成本预算： HDD通常比SSD更便宜，适用于成本敏感的项目。但是，如果性能要求较高，可能需要权衡性能和成本之间的关系。 未来扩展性： 考虑到项目未来的增长和扩展，可以选择支持更多硬盘的服务器，以便在需要时可以轻松扩展存储容量。 ...

互联网上，稍微有点粉的都在变现，比如跨境电商的，有点粉丝的，变现无非几种：卖课、卖圈子(小红圈，知识星球)、做代运营、自己直接带货、赚服务商的钱(各种软件，工具)。 其实我一直都觉得赚钱也没什么，这和你开亚马逊店铺，淘宝店铺，本质上没有任何区别。都是赚钱的一种形态。 因为任何赚钱的背后都是因为满足了需求，没有需求就不会延伸出产品。你不做，照样有人做。并且一旦你变现，总有不好的声音，哪怕你做知识星球99块一年，照样有人说你割韭菜。所以，不要太在意，你做的所有的事，就是对你自己认知的变现。 还有因为有付出，有回报，这才是真实的回馈。人不可能没有回馈的，没有回馈就是不正常的商业形态。 当然有些人也可能为爱发电，那他收获的也是美誉，这都是一种回馈。即便不变现的，其实也收获了影响力，影响力是可以做很多东西的。 比如掌握的信息更多了，再比如和供应商谈判就有优势，比如我做亚马逊，利用影响力，供应商直接都是给我支持100w的货，先卖再说。完全不用钱自己先掏着。所以，如果你有本事你就上，任何在一个领域取得成功的人，都是值得我们学习的。 那些你看起来很简单的事，其实每一点做起来都不容易。 比如：持续内容输出/获客/裂变/投流/交付/迭代/团队管理/内部效率管理 你去做了你就知道，真正做出效果的人，远比那些高谈阔论的人，厉害太多了。所以我不喜欢那些整天看这不爽，看那不爽的人，指点江山的人一点意义都没有。 所有人，我建议直接学习那些有结果人，去剖析他们为什么成功，成功在哪里，有什么是我们可以学习的。这种直接快速的拆解，反复训练，对你帮助最大。 @小北带你飞的微博...

随着上面的一声令下(工信部要求所有APP、小程序进行备案)，各大互联网大厂都开始实施具体政策了。来的可真快啊! 首先来的就是微信公众号，它是跟进政策是最快的了。微信公众号要求所有的微信小程序都要备案。9月起小程序必须备案才能上架。 未履行备案手续的，不得从事APP互联网信息服务。 微信要求： 1、若微信小程序未上架，自2023年9月1日起，微信小程序须完成备案后才可上架; 2、若微信小程序已上架，请于2024年3月31日前完成备案，逾期未完成备案，平台将按照备案相关规定于2024年4月1日起进行清退处理。 同时，微信也在建设ICP代备案管理系统了，系统将于9月1日上线，功能大概率会和网站备案一样。 小程序备案周期大约是：1-20个工作日内(具体以实际审核时间为准)完成审核。可以说小程序备案和网站备案的流程一摸一样。 小程序，一般都是依托于各个平台下的网站程序，比如微信生态、支付宝生态、百度生态等等都有自己的小程序。美其名曰小程序，其实就是移动站，唯一不同的是只能在自己平台下访问的小程序。 其实小程序的发布挺麻烦的，比如网页上有个错别字，修改一下，后面都要重新审核才能发布。松松简单看了一下小程序备案的材料，政策备案到是挺简单的，但一些特殊行业是真的麻烦。要求有前置审批材料。比如你小程序做出版的必须要有网络出版服务许可证，你做新闻的必须要有互联网新闻服务许可证。总之，小程序的创业门槛越来越高了。 APP备案还能理解哈，但像微信小程序在正式发布的时候其实已经做过实名认证了，域名也做了备案了。而且微信也验证了企业资质，但有点想不明白，为什么还要单独做备案。但国家一定有自己的考虑，我们只要遵守就好了。...

近日，全国信息安全标准化技术委员会秘书处就《信息安全技术 敏感个人信息处理安全要求》，公开征求意见。 根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术 敏感个人信息处理安全要求》由中国电子技术标准化研究院负责承办。本标准由全国信息安全标准化技术委员会归口管理。 本标准适用于规范个人信息处理者的个人信息处理活动，也可为监管部门、第三方评估机构对个人信息处理者开展个人信息处理活动进行监督、管理、评估提供参考。 为落实《个人信息保护法》对敏感个人信息处理规则的要求，本标准对生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹、不满十四周岁未成年人信息等敏感个人信息进行场景化规定，明确数据处理者对这些敏感个人信息进行收集、存储、使用、加工、传输、提供、公开、删除等处理活动的安全要求，重点突出采集必要性、安全保护、脱敏规则、告知同意等方面的具体要求。 《敏感个人信息处理安全要求》在各个行业，例如网上购物、网络支付、网络预约汽车、快递物流、网络音视频、即时通信等典型行业领域的推广应用，可以很好地帮助这些行业领域的企业提升自身的个人信息保护能力，有效促进各行业的健康发展。标准将为规范个人信息处理者的行为，保障个人信息权益，促进个人信息合理利用提供支持。目前，国内大部分企业均处理敏感个人信息，标准应用范非常广泛，标准应用将取得良好的效果。 原文链接： https://www.tc260.org.cn/front/bzzqyjDetail.html?id=20230809174946&norm_id=20221102151828&recode_id=52543 ...

面试官：TCP三次握手和四次挥手的工作流程是什么？ 不念：首先说一下TCP三次握手。 第一次握手，客户端发送链接请求报文，此时SYN=1、ACK=0、seq=x，这就是个连接请求此时客户端处于SYN_SENT状态，等待服务器响应。 第二次握手，服务端收到SYN=1的请求报文后需要返回一个确认的报文，ack=x+1，SYN=1，ACK=1，seq=y，发送给客户端，自己处于一个SYN_RECV的状态。 第三次握手，客户端接着又给服务端发送了ack=y+1，ACK=1，seq=x+1 简单总结：其实说白了三次握手就是来回来去的三次请求，每次请求携带上次一堆的TCP报文头，根据报文头是否正确从而建立连接。 面试官：为什么不是五次握手或者两次握手？ 不念：假设如果是两次握手的话，第一次客户端握手过去结果卡在某个地方了，没有到达服务端。 可是客户端再次重新又发送了第一次握手过去，服务端收到了并握手返回，接着彼此就建立了连接。 意外的是，之前卡住的第一次握手又死灰复燃发送到了服务端。 服务端直接返回一个第二次握手。这个时候服务器也就开辟了一个资源等待接收客户端的数据。 可是客户端直接就忽略了该回合的第二次握手，因为之前已经通信过了。 如果要是三次握手的话，那个第二次握手发回去之后客户端发现第一次握手已经被丢弃了，就会发送个复位的报文过去，避免了资源的开销。 说白了就是两次握手可能会导致服务端资源的一个浪费。三次握手会有一个复位的报文从而避免这种情况。 不念：既然三次握手都可以保证连接，四次五次握手就有些浪费资源了。 面试官：不错，继续聊一聊为什么是四次挥手。 不念：好的。 第一次挥手，客户端发送报文，FIN=1，seq=u，此时进入FIN-WAIT-1状态。 第二次挥手，服务端就收到报文，这是便进入CLOSE_WAIT状态，返回一个报文，ACK=1，ack=u+1 seq=v。客户端收到这个报文后，直接进入到FIN-WAIT-2状态，此时客户端到服务端的连接断开了。 第三次挥手，服务端发送连接释放的报文，FIN=1，ack=u+1，seq=w服务端进入LAST-ACK状态。 第四次挥手，客户端收到连接释放的报文后，发应答报文，ACK=1，ack=w+1，seq=u+1，进入到TIME_WAIT状态，等待一会客户端进入到CLOSED状态，服务端收到报文之后就进入到CLOSED状态。 ...

面试官：TCP、IP四层模型有了解吗？可以简单说说嘛。 不念：主要包括数据链路层、网络层、传输层、应用层。 面试官：可以简单聊聊什么是OSI七层网络模型吗？ 不念：可以的，其实它和四层网络模型主要区别是多了表示层、会话层、物理层，依次顺序是应用层``表示层、会话层、传输层、网络层、数据链路层、物理层 面试官：可以简单聊一聊各个层不同的含义，存在的意义吗？ 不念：当然：首先来说：从底向上的4层模型： 物理层：所谓的物理层就是指将各个电脑直接通过某种介质(WiFi、网线)连接起来形成一个网络，这就是物理层的含义。物理层负责传输0和1的电路信号。 数据链路层：架构在物理层之上，定义一些协议，将电路信号0和1进行分组。后来统一固定为以太网协议，一组电信号就是一个数据包又叫一个帧，每帧分成两个部分，标头(head)和数据(data)，标头会包含一些说明性的东西，比如发送者接收者和数据类型等等。 数据链路层：网络交换机就是工作在该层的。网络交换机是通过MAC地址来寻址和传输数据包的；但是路由器/网关是通过IP地址寻址和传输数据包的。网络交换机主要用在局域网的通信。一般你假设一个局域网，里面的电脑通过数据链路层发送数据包，通过MAC地址来广播的，广播的时候就是通过网络交换机这个设备来吧数据广播到局域网内的其它机器上去的。路由器一般用来让你接入英特网。 这里涉及到了以太网协议，它规定了只要接入网络的设备都必须要有一个网卡，以太网规定了，每个网卡必须包含一个Mac地址，Mac地址是这个网卡的唯一标识，唯一的Mac地址是一个48位的二进制，但是一般为了方便使用12个16进制数据表示，前6个事厂商编号，后6个16进制是网卡流水号。然后通过广播的方式在同一个子网内进行传播。 网络层：上面说通过广播的方式将数据包在同一个子网内传播出去，那么是确定是同一个子网、局域网呢？那这个时候就需要网络层。 在网络层中最重要的就是IP协议，IP协议可以给每个电脑定义一个IP地址(IPV4、IPV6)，范围是0.0.0.0~255.255.255.255，这里的IP地址中前24个二进制位(也就是前3组十进制的数据)中表示的是网络，后8位(最后一组十进制)代表了主机。运算公式为：通过将两个IP地址的二进制与子网掩码的二进制进行与运算，并判断前面的3部分二进制是否一样，一样则是一个子网。否则不是一个子网/局域网 传输层：这里有个问题是。一台机器上很多程序使用的都是一个网卡进行通信的。这些软件都是从一个网卡往外面发送数据，完后并从该网卡接收数据。如何区分不同应用软件接收的不同数据呢，此时就需要引入一个端口(范围是0~65536、0~1023被系统占用了)的概念。从上面说的我们可以发现网络层是基于IP协议进行主机间的寻址和通信的，传输层则是建立在主机的某个端口上到另外主机的某个端口上完成连接和通信的这个通信是通过socket来实现的。通过socket就可以基于tcp/ip协议完成上述所说的基于IP地址和MAC地址转换和寻址。以及通过路由进行通信然后建立一个端口到另外一个端口的连接。 TCP/UDP都是传输层的协议，作用就是在数据包里面加入端口号，可以通过端口号进行点对点通信。UDP是不可靠的。TCP是可靠的。 应用层：通过TCP协议可以完成端口对端口的一个通信，但是通信成功后拿到的这个数据应该如何去处理，这里就涉及到了应用层。比如最常见的应用层协议就是http协议(按照什么格式封装的就需要按照什么格式去解析响应。)。进行网络通信。 不念：总结，其实最常见的就是四层网络协议，分别是：数据链路层(以太网协议)、网络层(IP协议)、传输层(TCP协议)、应用层(http协议)所谓的七层就是引入了物理层(网线、光缆)、会话层、表示层、应用层 这三层一个并也就是四层里的应用层了 面试官：不错不错，那你知道如果不在一个子网数据应该如何传播的吗？ 不念：当然知道啦，不过这次有点累了，下次吧。 ...

前言 这次攻防演练每个队伍分配不同的目标，有些队伍拿的点可以直接 nday 打，有些队伍外网打点十分困难比如我们，但分数是是统一算的，可以说不是那么的公平。不过也算是提供了些许经验，简单做一下总结，都是比较基础的东西，如有写的不正确的地方欢迎各位师傅指正。 外网打点 敏感信息泄露 一般来说学校外网能拿直接权限的点已经很少了，web 应用大多是放在 vpn 后面，因此能弄到一个 vpn 账号可以说是事半功倍 另外还可以通过语法筛选出存在默认弱口令的系统，常用命令如下： PLAINTEXT 1 2 3 4 5 6 7 #google语法 site:*.edu.cn intext: vpn | 用户名 | 密码 | 帐号 | 默认密码 #github*.edu.cn password   查看方式优先选择最近更新，太久远的基本上失效了 这里队友收集到了某个目标的 vpn 账号，使用的是 姓名拼音/12345678 弱口令 进去内网后能访问的只有一个 OA 系统，测试了一下没发现什么东西，寻找其他突破口 shiro 无链 常规的打点可通过 fofa、hunter、quake 等网络测绘平台进行资产收集，收集好后进行去重，把去重后的资产列表进行批量指纹识别，筛选出重要易打点的系统 在常规的 hw 中这些方法比较通用，但是对于教育行业来说会相对困难，有 edusrc 的存在许多通用型漏洞已经被提交修复了，因此在信息搜集的时候要多去寻找旁站和一些容易被遗漏的站点 坐了一天牢后，终于通过测绘平台找到一个比较偏的资产，直接访问是一个静态页面，但扫描目录后指纹识别一波发现是 shiro 直接工具开冲，发现有默认 key 但是无利用链 这里想到之前学习 shiro 可以无依赖利用，感觉有戏尝试一波，相关知识可学习此文章 https://www.le1a.com/posts/a5f4a9e3/ PLAINTEXT 12 java -jar shiro_tool.jar 地址VPS:端口 通过 dnslog 测试有回显，这里有个注意点：使用 http://dnslog.cn/部分站点会拦截，可以换多个 dnslog 平台测试 dnslog 有回显接下来就是拿 shell 了，这里由于固化思维，之前遇到的都是 linux 系统，先入为主觉得是 Linux，结果没利用成功 这里可以通过网站快速生成 payload，https://x.hacking8.com/java-runtime.html 一开始以为是防火墙拦截，后面队友探测了一下目录结构，发现是 windows，所以这里 payload 要改变一下 Linux：  ...

据《印度教徒报》报道，印度将放弃微软系统，选择新的操作系统和端点检测与保护系统。 备受期待的 "玛雅操作系统 "将很快用于印度国防部的数字领域，而新的端点检测和保护系统 "Chakravyuh "也将一起面世。 不过，印度国防部尚未证实此事，也未发布官方消息。 玛雅操作系统与印度国防部 由于微软产品经常出现漏洞，一个拥有 14.86 亿人口的国家不能忽视这些漏洞带来的影响。 虽然大部分国防计算机是不联网的，但仍然有相当数量的计算机是相互连接的，因此很容易受到网络威胁。 众所周知，国家支持的高级持续威胁（ATP）组织以这些系统为目标，旨在提取敏感信息或建立未经授权的网络访问，以开展网络间谍活动。 据报道，为了应对这些不断变化的网络挑战，国防部正考虑在所有连接互联网的计算机上用本土的”玛雅“ 操作系统取代微软操作系统。 ”玛雅“ 操作系统是一个基于 Linux 的发行版，从流行的 Ubuntu 操作系统中汲取灵感。 预计这一过渡将是无缝的，因为与其他 GUI（图形用户界面）操作系统一样，”玛雅“ 操作系统将提供与 Windows 相似的用户界面和功能。 据报道，”玛雅“ 操作系统将在印度独立日（即 8 月 15 日）之前在南区实施。 印度旨在利用”玛雅“ 操作系统提高安全性 印度陆军、海军和空军已经对新操作系统进行了严格评估，海军已经批准。 同时，陆军和空军正在进行全面评估。据 Gizbot 报道，一旦这些评估结束，三个军种都准备将 ”玛雅“ 操作系统集成到其服务网络中。 在向玛雅操作系统过渡的同时，还引入了 "Chakravyuh"，这是一种先进的端点恶意软件检测和保护系统。这种双管齐下的方法有望遏制针对国家数字安全的网络攻击的增加。 国防部之所以决定采用这些先进技术，是因为认识到网络威胁的不断升级。 尽管微软 Windows 操作系统广为人知，而且用户界面友好，但一些漏洞和漏洞利用，以及威胁行为者不断将 Windows 机器作为攻击目标的事实，迫使印度在玛雅操作系统和 Chakravyuh 端点安全的帮助下制定新的方针。 印度国防部正准备进行一次重大的技术变革，有可能告别微软 Windows，迎来 "玛雅 "操作系统时代。 在部署先进的 "Chakravyuh "保护系统的同时，此举标志着印度在捍卫国家数字主权方面迈出了大胆的一步。 参考链接：https://thecyberexpress.com/india-maya-operating-system-defense-ministry/ ...

Bleeping Computer 网站消息，Gafgyt 恶意软件正积极利用 Zyxel P660HN-T1A 路由器五年前曝出的漏洞，每天发动数千次网络攻击活动。据悉，漏洞被追踪为 CVE-2017-18368，是路由器设备远程系统日志转发功能中存在的严重性未验证命令注入漏洞（CVSS v3：9.8），Zyxel 已于 2017 年修补了该漏洞。 早在 2019 年，Zyxel 就强调当时的新变种 Gafgyt 可能会利用该漏洞发动网络攻击，敦促仍在使用旧固件版本的用户尽快升级到最新版本，以保护其设备免遭接管。然而自 2023 年 7 月初以来，Fortinet 仍能够监测到平均每天 7100 次的攻击活动，且攻击数量持续至今。 Fortinet 发布警报表示截止到 2023 年 8 月 7 日，FortiGuard 实验室持续监测到利用 CVE-2017-18368 漏洞的攻击活动，并在过去一个月中阻止了超过数千个独特 IPS 设备的攻击企图。 试图利用 Zyxel 路由器中的 CVE-2017-18368 漏洞（来源：Fortinet ） Fortinet 指出虽然目前还尚不清楚观察到的攻击活动中有哪一部分成功感染了设备，但自 7 月份以来，攻击活动一直保持稳定。值得一提的是，CISA 近期发布了 CVE-2017-18368 在野外被利用的情况，并将该漏洞添加到其已知利用漏洞目录中，要求联邦机构在 2023 年 8 月 28 日前修补 Zyxel 漏洞。 为应对漏洞利用的爆发，Zyxel 又更新了安全公告，提醒客户 CVE-2017-18363 只影响运行 7.3.15.0 v001/3.40(ULM.0)b31 或更旧固件版本的设备，运行 2017 年为修复漏洞而推出的最新固件版本 3.40(BYF.11) 的 P660HN-T1A 路由器不受影响。 此外，Zyxel 表示 P660HN-T1A 在几年前就已达到报废年限。因此，强烈建议用户将其更换为更新一代的产品，以获得最佳保护。 路由器感染恶意软件常见迹象包括连接不稳定、设备过热、配置突然改变、反应迟钝、非典型网络流量、开放新端口和意外重启，如果怀疑自己的设备受到网络恶意软件的攻击，用户可以执行出厂重置，将设备固件更新到最新版本，更改默认的管理员用户凭据，并禁用远程管理面板，只从内部网络管理设备。 文章来源： https://www.bleepingcomputer.com/news/security/gafgyt-malware-exploits-five-years-old-flaw-in-eol-zyxel-router/#google_vignette ...

近期，来自加拿大多伦多大学公民实验室的研究人员在国内热门输入法——搜狗输入法的加密系统中发现了漏洞，能允许网络监听者破译用户的输入内容。目前该漏洞已得到修复。 研究人员发现漏洞的软件版本涉及三大主流系统，分别是Windows 13.4版本、Android 11.20版本和 iOS 11.21版本，其内部定制的EncryptWall加密系统在Windows和Android系统中存在CBC 密文填塞（padding oracle）攻击漏洞，能让网络监听者恢复加密网络传输的明文，从而泄露敏感信息。在iOS中虽然发现了漏洞，但并不清楚具体的利用方式。 恢复的数据示例摘录，第 11 行包含键入的文本 EncryptWall加密系统旨在通过纯 HTTP POST 请求中的加密字段，将敏感流量安全地传输到未加密的搜狗 HTTP API 端点。在通过 HTTPS 发出 EncryptWall 请求的情况下，研究人员认为这些请求是安全的，但EncryptWall 请求的底层加密技术中可能存在任何缺陷。 研究人员发现，CBC 密文填塞攻击是一种早在2002年就曾出现的选择密文攻击，信息的明文可以一个字节一个字节地恢复，每个字节最多使用 256 条信息。这种攻击依赖于一种称为填充预言的侧通道的存在，它可以明确地揭示接收到的密文在解密时是否被正确填充。 研究人员于今年5月31日向搜狗报告了次漏洞，最终修复版本于7月20日正式发布（Windows 13.7版本 、Android 11.26版本  和 iOS11.25 版本 ），强烈建议搜狗输入法的用户立刻升级至上述版本。 根据研究人员的报告，搜狗输入法是最受欢迎的中文输入法，占中文输入法用户的70%，每月活跃用户超过4.55 亿。 ...

最新彩虹知识付费商城初创体验版，支持二级分类，多级分销，秒杀，砍价，团购，首页继续浏览，分站个人虚拟余额自定义，最新批量对接，批量下载图片，批量替换标题，详情关键词替换，商品去重，商品活码，分站活码，插件市场，后台教程。后台一键更新，而且是免授权版本，非常良心，有稳定的技术维护，自带4000+货源数据，秒速上货，搭建即可运营。...

2005年3月，工信部要求所有境内网站都要进行网站备案、公安备案。 2023年8月，工信部要求所有的APP、小程序进行备案。否则…… 这绝对是一个移动互联网创业分水岭，一个划时代的政策，以后的APP一定会越来越规范、越来越正规。独立APP开发的创业之路将会堵掉一部分，下面是官方消息引用： 工信部组织开展APP备案工作：未备案不得从事APP互联网信息服务。为促进互联网行业规范健康发展，进一步做好移动互联网信息服务管理，工业和信息化部近日印发通知，组织开展移动互联网应用程序(以下简称APP)备案工作。要求在中华人民共和国境内从事互联网信息服务的APP主办者，应当依照《中华人民共和国反电信网络诈骗法》《互联网信息服务管理办法》等规定履行备案手续，未履行备案手续的，不得从事APP互联网信息服务。并要求2024年4月至2024年6月底完成巡检工作。 看来只剩十个月(300天)过渡期了，当前苹果App Store上一共有120万APP，扣掉一半不活跃的60万，平均一天要备案2000个APP，这还只是苹果的。算上小米、华为、OPPO等应用商店的APP，这备案的数量难度非常之大，工作量非常巨大。 根据网站备案的经验来看，APP备案的方式应该和网站备案一样，比如去各个IDC备案、人脸识别、公司验证、准备各种备案材料。有了网站备案的经验，APP备案的材料应该不复杂。 另外以后APP备案估计也要分为“个人备案”和“公司备案”，个人备案的APP，只有少部分功能，比如作为个人日记本使用。一旦涉及到交互、商业等行为就必须要你做公司备案。 那公司APP备案限制上少了，这也会导致很多独立开发者要开公司才能做APP，而且还要面对“版权”和“无限责任连带”的风险。 当然，你一定会问小K说：我APP不备案，你能把我怎么样?我就不备案。 我的回答的是：你APP不备案，当然不会把你怎么样。但你休想用国内的服务器、休想上架应用商店。国内的各种服务例如CDN、云存储、数据库、支付结算等等你都有没资格用。创业的门槛稍微加大。 当然上面的假设都是从APP创业者角度思考的，但对国家和普通民众来说绝对是好事。 APP备案相当于加强对App的监管，保障用户的隐私安全，很大程度上防止了电信诈骗。 其实早在10年前（2012年），移动互联网刚刚爆发的时候，工信部就考虑过要求APP备案，不过那时候还不太成熟，也就不了了之了。不过这事耽搁了10年，终于还是来了…………...

2023/06/30： 1.跳转微信客服支持多企业多客服轮询 2.新增黑名单列表，订单界面可一键添加 3.新商户订单支付成功率检测 4.新增通道订单连续失败检测（升级前先备份之前的黑名单列表） 2023/06/17： 1.新增H5页面跳转微信客服支付功能 2.优化缓存机制...

最新引流思路，目前效果拉满 一天100-200流量没问题 一部手机就能用的方法 外面单教程88 非常暴力有手就行 这几天是流量峰值期...

Github只要是程序员应该没有人不知道的，开源网站，很多时候国内访问的时候不是很稳定，经常的登录不上打开不开网页，这种情况怎么办？如何解决？今天就分享一下方法。 话不多说直接开始教程： 1.打开C:\Windows\System32\drivers\etc 路径下的的hosts文件 在hosts文件内加上如下内容并保存 140.82.114.4 github.com 140.82.114.4 gist.github.com 185.199.108.153 assets-cdn.github.com 151.101.64.133 raw.githubusercontent.com 151.101.108.133 gist.githubusercontent.com 151.101.108.133 cloud.githubusercontent.com 151.101.108.133 camo.githubusercontent.com 151.101.108.133 avatars0.githubusercontent.com 151.101.108.133 avatars1.githubusercontent.com 151.101.108.133 avatars2.githubusercontent.com 151.101.108.133 avatars3.githubusercontent.com 151.101.108.133 avatars4.githubusercontent.com 151.101.108.133 avatars5.githubusercontent.com 151.101.108.133 avatars6.githubusercontent.com 151.101.108.133 avatars7.githubusercontent.com 151.101.108.133 avatars8.githubusercontent.com 如图 如果无法编辑，鼠标右键打开文件属性将“只读”取消勾选并应用保存 Win+R打开运行框，输入cmd打开命令窗口，输入<mark style="box-sizing: border-box; background: rgb(252, 248, 227); color: rgb(0, 0, 0); padding: 0.2em; font-family: "Helvetica Neue", Helvetica, Arial, sans-serif; font-size: 16px; white-space: normal; outline: 0px !important;">ipconfig/flushdns命令会提示以下信息 然后就可以愉快的访问Github了！...

网站平台发布的涉及举报企业案件往往存在“不确定性”，这种现象源于信息传播的快速和广泛性，容易造成信息的扩散失控，导致不实消息、夸大事实或者无根据的猜测在网络上蔓延。此外，一些恶意带节奏的团体/个人出于利益或其他动机，对企业进行恶意举报或者散布谣言，故意夸大事件影响，误导公众。为更好维护保障企业和企业家网络合法权益，建立“优化营商网络环境”长效工作机制，近日，中央网信办根据《民法典》《网络安全法》《网络信息内容生态治理规定》《互联网用户账号信息管理规定》等法律法规和国家有关规定，结合举报工作实际，印发了《网站平台受理处置涉企网络侵权信息举报工作规范》（以下简称《工作规范》）。网站平台应“分类分级”处置涉企网络侵权举报信息《工作规范》第四条指出网站平台对于混淆企业主体身份的仿冒性信息、影响公众公正评判的误导性信息、不符合企业客观实际的谣言性信息、贬损丑化企业或企业家的侮辱性信息、侵害企业家个人隐私的泄密性信息、其他恶意干扰企业正常经营发展的信息等，应该重点受理处置。信息类型具体内容如下：仿冒性信息：仿冒性信息主要包括在名称、头像、简介等网络账号名称信息中，违规使用与企业相同或相似的名称标识或企业家姓名肖像的、假借企业或企业家名义发布信息的、非法镜像企业官方网站、APP，或冒用盗用企业官方网站、APP备案注册信息或其他显著要素特征的以及其他引发公众混淆企业主体身份的信息，对于误导性信息，网站平台应当严格审查。误导性信息：通过增删信息、改变顺序、调整结构等方式，曲解新闻原意的，有关部门、新闻媒体等纠正或撤销的过期信息，删减旧闻旧事发生时间、地点和处理结果，重新发布的，使用与内容严重不符的夸张标题的、强调不利事实，回避有利事实，以偏概全的、断章取义企业家或企业代表过往言论的、片面解读企业各类对外公告的、引发公众误解误读的信息等都是误导性信息。谣言类信息：谣言类信息主要包括虚构企业家隐私生活的、编造企业违法犯罪或违规生产经营的、杜撰企业家或企业员工违法犯罪或道德失范的、夸大企业或企业家生产经营困难的、歪曲企业或企业家正常生产经营和投资活动的、诋毁企业产品服务质量的、抹黑企业科技创新能力的、其他与企业客观实际情况不符的信息。侮辱性信息：对于攻击谩骂企业或企业家的、涂抹恶搞企业家肖像照片的、与色情低俗话题恶意关联的以及其他违反公序良俗丑化企业或企业家的信息归类于侮辱性信息。泄密性信息：违规披露企业家身份证、护照、社保卡、户籍档案等个人身份信息的、违规披露企业家家庭住址、电话号码、电子邮箱等个人联系信息的、其他法律法规禁止披露的隐私信息。《工作规范》对于网站平台如何处置上述类型信息以及其他恶意干扰企业正常经营发展的信息做出严格规范，要求网站平台充分掌握相关资料，及时处置，以免影响企业正常生产经营。网站平台联合监管部门及时处置举报信息对于举报人提交的举报信息应当及时判断真实性，《工作规范》指出如果提交的信息能够满足充分陈述举报事项、阐明举报理由的文字举报、提交能够证明举报内容侵权的初步证据材料、提交申明举报真实性、合法性的文字保证等条件，网站平台应当予以受理。此外，《工作规范》第二十五条和第二十六条强调网站平台受理涉股东、高管、子公司、业务合作伙伴等企业利益相关方的网络侵权信息举报，研判认为有必要采取相应处置措施的，应当报请省级网信部门审核。对重大事项，报中央网信办相关司局审核，不得滥用举报处置权利，严禁实施有偿删帖、人情删帖等违法违规行为，严禁利用举报处置权利谋取不正当利益。最后，《工作规范》要求网站平台应当建立健全规章制度，严格工作流程，规范层级把关，强化内部监督，确保依法依规受理处置涉企网络侵权信息举报，建立工作台账，如实记录涉企网络侵权信息举报受理处置全过程，留存全量数据不少于六个月，并在网信部门依法查询时，予以提供，相关账号处置情况，也应当定期报送中央网信办相关司局。同时，各级网信举报部门应当建立健全日常检查和专项检查相结合的工作制度，依法依规对属地网站平台涉企网络侵权信息举报受理处置工作实施监督管理。 ...