一.介绍。1.什么是永恒之蓝。永恒之蓝（EternalBlue）爆发于2017年4月14日晚，是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限，以此来控制被入侵的计算机。甚至于2017年5月12日，不法分子通过改造“永恒之蓝”制作了wannacry勒索病毒，使全世界大范围内遭受了该勒索病毒，甚至波及到学校、大型企业、政府等机构，只能通过支付高额的赎金才能恢复出文件。不过在该病毒出来不久就被微软通过打补丁修复。2.SMB协议介绍。SMB（ServerMessageBlock）通信协议是微软（Microsoft）和英特尔(Intel)在1987年制定的协议，主要是作为Microso

一、漏洞概述2022年3月1日，VMware官方发布漏洞报告，在使用SpringColudGateway的应用程序开启、暴露GatewayActuator端点时，会容易造成代码注入攻击，攻击者可以制造恶意请求，在远程主机进行任意远程执行。 二、影响版本SpringCloudGateway3.1.xSpringCloudGateway3.0.x旧的、不受支持的版本也会受到影响 三、漏洞原理大白话就是说：因为ShortcutConfigurable.java中的getValue方法可以被ConfigurationService.java包中ConfigurableBuilder的normalize

一、漏洞概述2022年3月1日，VMware官方发布漏洞报告，在使用SpringColudGateway的应用程序开启、暴露GatewayActuator端点时，会容易造成代码注入攻击，攻击者可以制造恶意请求，在远程主机进行任意远程执行。 二、影响版本SpringCloudGateway3.1.xSpringCloudGateway3.0.x旧的、不受支持的版本也会受到影响 三、漏洞原理大白话就是说：因为ShortcutConfigurable.java中的getValue方法可以被ConfigurationService.java包中ConfigurableBuilder的normalize

一、漏洞描述漏洞简述KeePass是一款免费的开源密码管理器，可帮助您以安全的方式管理您的密码。您可以将所有密码存储在一个数据库中，该数据库由一把万能钥匙锁定。因此，您只需记住一个主密钥即可解锁整个数据库。数据库文件使用目前已知的最佳和最安全的加密算法（AES-256、ChaCha20和Twofish）进行加密。对KeePass配置文件具有写入权限的攻击者可以修改它并注入恶意触发器，例如通过添加导出触发器来获取明文密码。漏洞影响范围供应商：KeePass产品：KeePassPasswordSafe2确认受影响版本：KeePass2.53版本修复版本：KeePass2.53.1版本二、漏洞复现实

一、漏洞描述漏洞简述KeePass是一款免费的开源密码管理器，可帮助您以安全的方式管理您的密码。您可以将所有密码存储在一个数据库中，该数据库由一把万能钥匙锁定。因此，您只需记住一个主密钥即可解锁整个数据库。数据库文件使用目前已知的最佳和最安全的加密算法（AES-256、ChaCha20和Twofish）进行加密。对KeePass配置文件具有写入权限的攻击者可以修改它并注入恶意触发器，例如通过添加导出触发器来获取明文密码。漏洞影响范围供应商：KeePass产品：KeePassPasswordSafe2确认受影响版本：KeePass2.53版本修复版本：KeePass2.53.1版本二、漏洞复现实

摘要：该方法的主要思想是使用数值较大的排在前面的梯度进行反向传播，可以认为是一种在线难例挖掘方法，该方法使模型讲注意力放在较难学习的样本上，以此让模型产生更好的效果。本文分享自华为云社区《ATKLoss论文复现与代码实战》，作者：李长安。损失是一种非常通用的聚合损失，其可以和很多现有的定义在单个样本上的损失结合起来，如logistic损失，hinge损失，平方损失（L2），绝对值损失（L1）等等。通过引入自由度k，损失可以更好的拟合数据的不同分布。当数据存在多分布或类别分布不均衡的时候，最小化平均损失会牺牲掉小类样本以达到在整体样本集上的损失最小；当数据存在噪音或外点的时候，最大损失对噪音非常

摘要：该方法的主要思想是使用数值较大的排在前面的梯度进行反向传播，可以认为是一种在线难例挖掘方法，该方法使模型讲注意力放在较难学习的样本上，以此让模型产生更好的效果。本文分享自华为云社区《ATKLoss论文复现与代码实战》，作者：李长安。损失是一种非常通用的聚合损失，其可以和很多现有的定义在单个样本上的损失结合起来，如logistic损失，hinge损失，平方损失（L2），绝对值损失（L1）等等。通过引入自由度k，损失可以更好的拟合数据的不同分布。当数据存在多分布或类别分布不均衡的时候，最小化平均损失会牺牲掉小类样本以达到在整体样本集上的损失最小；当数据存在噪音或外点的时候，最大损失对噪音非常

摘要：基于Dropout的这种特殊方式对网络带来的随机性，研究员们提出了R-Drop来进一步对（子模型）网络的输出预测进行了正则约束。本文分享自华为云社区《R-Drop论文复现与理论讲解》，作者：李长安。R-Drop:RegularizedDropoutforNeuralNetworks由于深度神经网络非常容易过拟合，因此Dropout方法采用了随机丢弃每层的部分神经元，以此来避免在训练过程中的过拟合问题。正是因为每次随机丢弃部分神经元，导致每次丢弃后产生的子模型都不一样，所以Dropout的操作一定程度上使得训练后的模型是一种多个子模型的组合约束。基于Dropout的这种特殊方式对网络带来的

摘要：基于Dropout的这种特殊方式对网络带来的随机性，研究员们提出了R-Drop来进一步对（子模型）网络的输出预测进行了正则约束。本文分享自华为云社区《R-Drop论文复现与理论讲解》，作者：李长安。R-Drop:RegularizedDropoutforNeuralNetworks由于深度神经网络非常容易过拟合，因此Dropout方法采用了随机丢弃每层的部分神经元，以此来避免在训练过程中的过拟合问题。正是因为每次随机丢弃部分神经元，导致每次丢弃后产生的子模型都不一样，所以Dropout的操作一定程度上使得训练后的模型是一种多个子模型的组合约束。基于Dropout的这种特殊方式对网络带来的

漏洞原理ApacheShiro是Java的一个安全框架，可以帮助我们完成：认证、授权、加密、会话管理、与Web集成、缓存等功能，应用十分广泛。Shiro最有名的漏洞就是反序列化漏洞了，加密的用户信息序列化后存储在名为remember-me的Cookie中，攻击者使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。这里最关键的切入点就是默认密钥了，这个漏洞已经出来5年多了，不知道为啥，实际工作中还是经常发现开发木有修改默认密钥。。。 漏洞复现靶场：https://github.com/vulhub/vulhub/tree/master/shiro