- 博客(512)
- 收藏
- 关注
RSS订阅转载 校招后端面经
后端校招后端面经--前言前言简历算法知识点前言后端相对其他岗位来说,竞争也是比较激烈的一个岗位,大三的春招和大四的春招让我体会到,大厂(腾讯阿里等)对后端的面试是很严格也很深入的,其他互联网公司的标准会低一些。后端的门槛其实不高,我身边有些朋友之前并没有做过后端的项目,但通过对理论知识的学习以及各种面经的学习,也得到了很好的offer。本人因为考研的关系放弃了秋招,虽然考研初试过了,但在复试被刷了。后来去投了简历,运气好被WXG捞了起来,虽然已经有一年多没碰后端这一块,但在一个朋友的帮助下,整理一下后
2020-06-04 15:27:55
2058
转载 python内存机制与垃圾回收、调优手段
python 目录一、python的内存机制二、python的垃圾回收1. 引用计数1.1 原理:1.2 优缺点:1.3 一个例子:1.4 两种情况:1.5 一个特殊的实例:2. 标记清除2.1 原理:2.2 优缺点:3. 分代回收3.1 原理:4. 三种情况触发垃圾回收:5. 小整数对象池与intern机制三、调优手段1. 手动垃圾回收2. 调高垃圾回收阈值3. 避免循环引用3.1 手动解循环引用3.2 使用弱引用一、python的内存机制python中的内存机制 如下所示: __
2020-06-04 14:48:20
2013
转载 tomcat session反序列化漏洞分析
<p></p><h1>CVE-2020-9484 tomcat session反序列化漏洞</h1>漏洞通告可以看到利用条件较为苛刻,并且在复现的时候需要做一定配置修改PersistenceManager配置,这个配置是在tomcat目录的conf目录中的context.xml中配置的,根据官网的配置方法,做如下配置这样2,3条件满足了,之后配置tomcat的debug环境即可漏洞分析一般文件存储sessio...
2020-06-02 17:06:18
2468
转载 常见网络故障排查
ping 命令作用:用于测试另一台主机是否可达,常用于排查网络故障。用法: ping 域名或ip地址常见的网络故障主要有 硬件故障 和 软件故障硬件故障主要有:① 网卡物理损坏 (由于使用中发送电子元件损坏而造成网卡无法使用)② 链路故障 (常表现为网线或水晶头在制作过程中出现线路问题, 或 线路老化造成的故障)......软件故障主要有 : ① 网卡驱动故障 (即网...
2020-05-25 14:13:29
1036
转载 python(十)下:事件驱动与 阻塞IO、非阻塞IO、IO多路复用、异步IO
上节的问题: 协程:遇到IO操作就切换。 但什么时候切回去呢?怎么确定IO操作完了?一、事件驱动模型介绍通常,我们写服务器处理模型的程序时,有以下几种模型: (1)每收到一个请求,创建一个新的进程,来处理该请求; (2)每收...
2020-05-23 21:40:24
766
转载 对缓存投毒的学习总结
<p></p><p><strong>引言:</strong></p>缓存投毒,听起来就是寻找和利用都很困难的一类漏洞利用。但在了解了原理以及实际体验过之后,你会发现,过程很神奇,结果很美好~ 这篇文章算是对缓存投毒的一个小总结,以便后面的复习。内容浅尝即止,师傅们轻喷。文章一共分为以下几个部分:什么是缓存投毒?缓存投毒的发现与利用通过几个实验例子来实践缓存投毒使用缓存投毒来解CTF题...
2020-05-08 17:44:06
1139
1
转载 缓冲区溢出基础实践(二)——ROP 与 hijack GOT
https://www.cnblogs.com/yhjoker/p/9165178.html
2020-04-28 14:58:06
667
转载 Windows下三种mysql提权剖析
<p></p><hr>title: Windows下三种mysql提权剖析索引这篇文章是写基于windows环境下的一些mysql提权方法的分析并利用。这些方法老生常谈,但困于很多文章在讲分析和利用的时候模棱两可,因此想总结一下常见的方法思路。基于windows的提权姿势多的数不胜数,一般在配置文件可以嗅探到root密码...
2020-03-27 16:28:51
1212
转载 waf && filter bypass系列——XSS之html语境下的填充符探索。
这是一个waf && filter 探索与绕过系列文章。1. 研究对象:XSS、html标签、填充符首先大概的说一下填充符的概念。可被用来分隔语法关键词却不影响语义的符号。举个例子,比如说一个简单的XSS payload <svg οnlοad=alert()>。我们可以用/来代替svg和onload之间的空格,且不会影响html的解析。我们就说,/是一个填充符。...
2020-03-24 22:26:54
824
转载 SSRF in PHP
0x00 前言学过CSRF漏洞后,收获颇多。同时发现SSRF漏洞和CSRF漏洞有一点点类似之处。CSRF跨站请求伪造,基于客户端的请求伪造;SSRF服务器端请求伪造,基于服务端的请求伪造。因为SSRF还没学习,所以还是先走上SSRF漏洞的学习之路吧!0x01 SSRF漏洞简介1.SSRF漏洞概述SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种...
2020-03-24 22:23:03
1167
转载 原理+实践掌握(PHP反序列化和Session反序列化)
<p></p><h2 id="toc-0">前言:</h2>最近又接触了几道php反序列化的题目,觉得对反序列化的理解又加深了一点,这次就在之前的学习的基础上进行补充。0x00:PHP序列化函数 : serialize()所有php里面的值都可以使用函数serialize()来返回一个包含字节流的字符串来表...
2020-03-22 00:36:16
1616
转载 深入理解SET NAMES和mysql(i)_set_charset的区别
本文地址: https://www.laruence.com/2010/04/12/1396.html转载请注明出处 最近公司组织了个PHP安全编程的培训, 其中涉及到一部分关于Mysql的"SET NAMES"和mysql_set_charset (mysqli_set_charset)的内容: 说到, 尽量使用mysqli_set_charset(mysqli:set_char...
2020-03-21 00:49:37
810
转载 Redis未授权访问漏洞复现与利用
一、漏洞简介以及危害:1.什么是redis未授权访问漏洞:Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访...
2020-03-21 00:48:01
2266
转载 某些浏览器中因cookie设置HttpOnly标志引起的安全问题
1、简介如果cookie设置了HttpOnly标志,可以在发生XSS时避免JavaScript读取cookie,这也是HttpOnly被引入的原因。但这种方式能防住攻击者吗?HttpOnly标志可以防止cookie被“读取”,那么能不能防止被“写”呢?答案是否定的,那么这里面就有文章可做了,因为已证明有些浏览器的HttpOnly标记可以被...
2020-03-21 00:37:25
1998
转载 利用HTML5的CORS特性绕过httpOnly的限制实现XSS会话劫持
文章目录0×00. 前言 0×01. 前提条件0×02. 本次实验环境漏洞环境:使用到的工具: 0×03. 测试过程1) 事先插入一段xss代码2) 配置好用户端的hosts3)开始测试0×04. shell of the future 劫持会话原理图0×05. 不足* 本文原创作者:ForrestX386,本文属Fr...
2020-03-21 00:34:42
3951
转载 Sql注入之limit注入的学习
0x01 前言今天听学长们交流漏洞挖掘的经验,提到了Limit注入,借此来学习一下limit注入0x02 知识介绍limitLIMIT[位置偏移量,]行数其中,中括号里面的参数是可选参数,位置偏移量是指MySQL查询分析器要从哪一行开始显示,索引值从0开始,即第一条记录位置偏移量是0,第二条记录的位置偏移量是1,依此类推...,第二个参数为“行数”即指示返回的记录条数。效果如...
2020-03-19 13:58:04
2481
转载 反向ICMP_shell – icmpsh
有时候,网络管理员使用各种各样的防火墙,对渗透测试是非常困难的,有种这样防火墙:一个允许已知的机器流量在端口和服务(入口过滤),并拥有强大的出口访问控制列表的设置。 当你已经拥有一台机器内部网络或者DMZ的一部分。他并非通过TCP来获得reverse shell的,所以不考虑绑定shell。 然而有关UDP,通常是一个DNS...
2020-03-18 23:16:38
660
转载 Python 字符串操作(string替换、删除、截取、复制、连接、比较、查找、包含、大小写转换、分割等)
1、去空格及特殊符号s.strip()s.lstrip()s.rstrip()s.strip().lstrip().rstrip(',') 声明:s为字符串,rm为要删除的字符序列 s.strip(rm) 删除s字符串中开头、结尾处,位于 rm删除序列的字符...
2020-03-17 20:21:59
681
转载 RF, GBDT和Xgboost构造新特征+LR融合的原理及实践
关于Xgboost的知识点很多,本篇博客介绍如何利用Xgboost构造新特征,且在此基础上,介绍与LR模型融合的相关知识点。目录一、原理二、实践2.1 如何获得样本落在哪个叶子节点2.2 举例2.2.1 训练集准备2.2.2 RF+LR2.2.3 GBDT+LR2.2.4 Xgbo...
2020-03-17 00:15:03
1726
1
转载 探索性数据分析1
探索性数据分析介绍当有人扔给你一份数据时,你对这份数据完全陌生,又没有足够的业务背景,会不会感觉无从下手。如果你什么都不管,直接把...
2020-03-16 23:57:57
1865
转载 探索性数据分析
探索性数据分析(Exploratory Data Analysis,EDA)是指对已有数据在尽量少的先验假设下通过作图、制表、方程拟合、计算特征量等手段探索数据的结构和规律的一种数据分析方法,该方法在上世纪70年代由美国统计学家J.K.Tukey提出。传统...
2020-03-16 23:52:40
1891
转载 Redis未授权访问漏洞利用总结
0x01 redis介绍Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。从2010年3月15日起,Redis的开发工作由VMware主持。从2013年5月开始,Redis的开发由Pivotal赞助。Redis因配置不当可...
2020-03-16 17:16:04
703
转载 【安全面试】安全面试总结2
记录下我这次面试过程中不会的内容,有待之后学习,有些还没有总结完1. self-xssSelf-XSS(自跨站脚本攻击)是一种由受...
2020-03-16 16:48:04
641
转载 【安全面试】安全面试总结1
这是我在面试中被问到一些问题,主要偏向基础知识,如有错误,还望指正。1. sql注入1. 原理攻击者通过构造一些恶意的SQL语句...
2020-03-16 16:47:09
1017
转载 浅谈20 ---------机器学习项目流程
一个完整的机器学习项目一般流程包括: 1、抽象成数学问题 首先要明确问题,分类还是回归,尽量避免胡乱尝试;2、数据获取及分析 获取的数据要有代表性,否则必然会过拟合。 而且对于分类问题,数据偏斜不能过于严重,不同类别的数据数量不要有数个数量级的差距。 而且还要对数据的量级有一个评估,多少个样本,多少个特征,可以估算出其对内存的消耗程度,判断...
2020-03-12 23:50:13
440
转载 浅谈19------------协同过滤
协同过滤的模型一般为m个物品,m个用户的数据,只有部分用户和部分数据之间是有评分数据的,其它部分评分是空白,此时我们要用已有的部分稀疏数据来预测那些空白的物品和数据之间的评分关系,找到最高评分的物品推荐给用户。 一般来说,协同过滤推荐分为三种类型。第一种是基于用户(user-based)的协同过滤,第二种是基于项目(item-based)的协同过滤,第三种是基于模型(mod...
2020-03-12 23:48:46
563
转载 浅谈18------推荐算法
1、推荐系统目的(1)帮助用户找到想要的商品(新闻/音乐/……),发掘长尾(2)降低信息过载(3)提高站点的点击率/转化率(4)加深对用户的了解,为用户提供定制化服务2、推荐算法概述 推荐算法是非常古老的,在机器学习还没有兴起的时候就有需求和应用了。概括来说,可以分为以下5种: 1)基于内容的推荐:这一类一般依赖于自然语言处理NLP的一些知识,通过挖掘文本的TF-IDF...
2020-03-12 23:47:59
891
转载 浅谈17------------------EM算法
1、EM算法要解决的问题 如果使用基于最大似然估计的模型,模型中存在隐变量,就要用EM算法做参数估计。 EM算法解决这个的思路是使用启发式的迭代方法,既然我们无法直接求出模型分布参数,那么我们可以先猜想隐含数据(EM算法的E步),接着基于观察数据和猜测的隐含数据一起来极大化对数似然,求解我们的模型参数(EM算法的M步)。由于我们之前的隐藏数据是猜测的,所以此时得到的模型参数一般还...
2020-03-12 23:12:28
529
转载 浅谈16---------- 极大似然估计(MLE)、贝叶斯估计、最大后验概率估计(MAP)区别
最大似然估计(Maximum likelihood estimation, 简称MLE)和最大后验概率估计(Maximum aposteriori estimation, 简称MAP)是很常用的两种参数估计方法。 1、最大似然估计(MLE) 在已知试验结果(即是样本)的情况下,用来估计满足这些样本分布的参数,把可能性最大的那个参数作为真实的参数...
2020-03-12 23:08:36
1181
转载 浅谈15--------- L0、L1、L2正则化区别
1、概念 L0正则化的值是模型参数中非零参数的个数。 L1正则化表示各个参数绝对值之和。 L2正则化标识各个参数的平方的和的开方值。2、问题 1)实现参数的稀疏有什么好处吗? 一个好处是可以简化模型,避免过拟合。因为一个模型中真正重要的参数可能并不多,如果考虑所有的参数起作用,那么对训练数据可以预测的很好,但是对测试数据就只能呵呵了。另一个好...
2020-03-12 18:08:45
852
转载 浅谈14 -------特征工程
特征工程:特征选择,特征表达和特征预处理。1、特征选择 特征选择也被称为变量选择和属性选择,它能够自动地选择数据中目标问题最为相关的属性。是在模型构建时中选择相关特征子集的过程。 特征选择与降维不同。虽说这两种方法都是要减少数据集中的特征数量,但降维相当于对所有特征进行了重新组合,而特征选择仅仅是保留或丢弃某些特征,而不改变特征本身。 降维常见的方法有PCA,S...
2020-03-12 18:01:41
815
转载 浅谈 13-----常见统计学习方法总结(一)
1、判别模型和生成模型总结 判别方法:由数据直接学习决策函数 Y = f(X),或者由条件分布概率 P(Y|X)作为预测模型,即判别模型。 生成方法:由数据学习联合概率密度分布函数 P(X,Y),然后求出条件概率分布P(Y|X)作为预测的模型,即生成模型。 由生成模型可以得到判别模型,但由判别模型得不到生成模型。 常见的判别模型有:K近邻、SVM、决策树、感知机、线性判别...
2020-03-12 17:51:15
539
转载 浅谈机器学习(12)— 机器学习中数据不平衡问题
可以把问题根据难度从小到大排个序:大数据+分布均衡<大数据+分布不均衡<小数据+数据均衡<小数据+数据不均衡。 说明:对于小数据集,机器学习的方法是比较棘手的。对于需要解决的问题,拿到数据后,首先统计可用训练数据有多大,然后再观察数据分布情况。经验表明,训练数据中每个类别有5000个以上样本,其实也要相对于特征而言,来判断样本数目是不是足够,数据量是足够的,正负...
2020-03-12 16:57:52
641
转载 浅谈(11)— Apriori算法、FP Growth算法
1、Apriori算法 Apriori算法是常用的用于挖掘出数据关联规则的算法,它用来找出数据值中频繁出现的数据集合,找出这些集合的模式有助于我们做一些决策。 Apriori算法采用了迭代的方法,先搜索出候选1项集及对应的支持度,剪枝去掉低于支持度的1项集,得到频繁1项集。然后对剩下的频繁1项集进行连接,得到候选的频繁2项集,筛选去掉低于支持度的候选频繁2项集,得到真正的频繁二项...
2020-03-12 16:22:05
715
转载 浅谈10----相似性度量和距离计算
在机器学习中,经常需要使用距离和相似性计算的公式,在做分类时,常常需要计算不同样本之间的相似性度量(Similarity Measurement),计算这个度量,我们通常采用的方法是计算样本之间的“距离(Distance)”。比如利用k-means进行聚类时,判断个体所属的类别,就需要使用距离计算公式得到样本距离簇心的距离,利用kNN进行分类时,也是计算个体与已知类别...
2020-03-12 15:48:51
672
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人