文｜新熔财经作者｜一城字节跳动早期投资人陈伟星在社交平台上狂喷抖音，引发不小的震动。“运用人工智能对用户进行操控，引导其行为，最终实现抖音自身的意图目标”、“控制人类意识，沉迷于意识形态的皇帝之位”，这样的指控不可谓不尖锐。事实上，早在漂亮国大选期间，tiktok就被指控有类似的行动。人工智能算法，在精确匹配用户内容需求的同时，是否被用作其他用途，例如爆料所言影响高考生填报志愿，可能只有依靠平台的自觉。但这种指控背后，却反映出电商平台竞争的大时代，抖音对于商家、达人的独特价值——“影响力”经济。电商是抖音“影响力”经济的表现之一，而并不只是流量的产物。这种属性，决定了抖音或许是商家、达人们更可

格式化字符串的基本漏洞点格式化字符串漏洞是一种常见的安全漏洞类型。它利用了程序中对格式化字符串的处理不当，导致可以读取和修改内存中的任意数据。格式化字符串漏洞通常发生在使用C或类似语言编写的程序中，其中 printf、sprintf、fprintf 等函数用于将数据格式化为字符串并进行输出。当这些函数的格式字符串参数（比如 %s、%d等）由用户提供时，如果未正确地对用户提供的输入进行验证和过滤，就可能存在格式化字符串漏洞。攻击者可以通过构造特定的格式化字符串，利用漏洞读取和修改程序内存中的敏感数据。一些可能的攻击方式包括：读取内存：通过在格式字符串中使用 %x 或 %s 占位符，可以泄露栈上和

问题描述最近实战时，发现一个很奇怪的问题，在通过k8s创建pod，拉取镜像时，总是显示如下信息：Errorsyncingpod,skipping:failedto"StartContainer"for"POD"withImagePullBackOff:"Back-offpullingimage..."原因分析该现象出现的原因可能是网络问题、docker环境问题等。但如果访问的是一个公开的镜像仓库，在pullimage的时候，不应该会提示：ImagePullBackOff，但如果访问的是私有仓库，那就有可能出现如下的错误：这个错误出现的原因，刚才说了，有可能的网络问题，也有可能是docker问题

渗透测试收集信息完成后，就要根据所收集的信息，扫描目标站点可能存在的漏洞了，包括我们之前提到过的如：SQL注入漏洞、跨站脚本漏洞、文件上传漏洞、文件包含漏洞及命令执行漏洞等，通过这些已知的漏洞，来寻找目标站点的突破口，在这之前我们可能就已经接触过许多漏洞靶场，练习过各种漏洞的攻击方法，其实这种练习是不合理的，原因就是缺少了前期的信息收集和漏洞扫描，明确告诉了你站点的所有信息和所存在的漏洞，我们只需要根据具体漏洞，对症下药就可以了，其实对于一次真正意义上的渗透测试来说，这些信息都是需要我们自己去收集的，漏洞也是要我们自己发掘的，今天我们就讲一讲几款比较好用的漏洞扫描工具。一、AWVSAcunet

OpenCV-Python实战（番外篇）——利用增强现实制作美颜挂件，让你的照片与众不同前言基于Snapchat的增强现实胡子挂件融合完整代码眼镜挂件融合完整代码相关链接前言在博文《详解AR增强现实》中，我们已经学习了增强现实的基本概念，并且学习了如何在真实世界的视图上融合计算机生成的虚拟元素以增强现实。在本文中，我们将学习如何创建有趣的基于Snapchat的增强现实，我们将介绍两个实战项目。第一个项目在检测到的人脸上的鼻子和嘴巴之间添加胡子挂件，第二个项目在检测到的人脸上添加眼镜挂件。基于Snapchat的增强现实胡子挂件融合第一个项目中，我们将在检测到的脸上覆盖了一个小胡子。我们可以使用从

硬件：一个在淘宝花了1200大洋买的4核CPU：N100+32G内存+512GNVME盘的小PC盒子带宽：上行有50M肯定够用了系统：Ubuntu22.04Server版，自己重装的系统服务器基本的功能和服务开通可以看我另一篇文章：家庭服务器搭建（包含将动态IPV6绑定到固定域名的流程）思路幻兽帕鲁这叼毛游戏居然不支持IPV6连接，就很难受。于是我就在网上找了一堆攻略，基本的思路就是在客户端连接时，填写本机的IPV4+端口，然后用程序把这个端口上的数据都截胡了，再转发到远端服务器的IPV6+端口上，当然反向的数据也是这样转发；在服务端上，将IPV6+端口收到的数据再转发到服务端的0.0.0.0

1.产品发布1.1微软：明年春季推出首款AIPC发布日期：2023.12.28Microsoft’snextSurfacelaptopswillreportedlybeitsfirsttrue‘AIPCs’-TheVerge主要内容：根据WindowsCentral的最新报道，微软计划对其Surface产品线进行重大更新。据称，SurfacePro和SurfaceLaptop将首次提供英特尔和Arm版本，并且都将配备下一代NPU（神经处理单元）芯片。这些被代号为CADMUS的PC将被专门设计用于运行微软即将打包到未来版本Windows中的人工智能功能。预计这些新设备将在春季发布，并将作为微软首

CobaltStrike是一个知名的红队命令与控制框架，采用BeaconTeamServerClient架构。TeamServer存在受限路径穿越写文件与反序列化漏洞，可以被认证后客户端恶意利用。Client存在反序列化漏洞，可以被RogueCS攻击。山寨威胁建模由于这个软件的特殊性，我们需要想想什么才是漏洞：直接攻击TeamServer暴露的服务通过Beacon攻击TeamServer通过Client攻击TeamServer通过TeamServer攻击ClientTeamServer控制Beacon是功能，任何所谓TeamServer攻击Beacon的操作都不能算漏洞可以看出TeamServ

漏洞名称:ApacheHTTP/2安全漏洞漏洞级别:高危漏洞编号:CVE-2023-44487,CNVD-2023-75597,CNNVD-202310-667相关涉及:GoogleCloudPlatform漏洞状态:POC参考链接:https://tvd.wuthreat.com/#/listDetail?TVD_ID=TVD-2023-25208漏洞名称:AdobeCommerceandMagentoOpenSourceSQL注入漏洞级别:高危漏洞编号:CVE-2023-38249相关涉及:AdobeCommerce2.4.4-p1漏洞状态:未定义参考链接:https://tvd.wuth

Shiro1.2.4反序列化漏洞目录Shiro1.2.4反序列化漏洞一、JRMP协议二、漏洞原理三、复现步骤四、修复和防御一、JRMP协议​ JRMP全称为JavaRemoteMethodProtocol，也就是Java远程方法协议。是RMI（RemoteMethodInvocation）工作的底层协议。二、漏洞原理​ ApacheShiro1.2.4及以前版本中，加密的用户信息序列化后存储在名为remember-me的Cookie中。攻击者可以使用Shiro的默认密钥伪造用户Cookie，触发Java反序列化漏洞，进而在目标机器上执行任意命令。个人理解：（不一定正确）ApacheShir