ch4ser

三个月前，0offer的我在杭州的地铁里，听着汪峰的《北京北京》赶往公务员复试地点，为自己的前途未卜感到迷茫与疲惫。当时的自己只是从这首歌中听出了无根之人的悲凉与无奈，却不曾想过，三个月后，我会与这首歌发生字面程度上的共鸣。毕业在即，我也面临着与汪峰一样或者说与所有北漂族一样的问题：如何告别北京？ ...

生活过得好一点，比大多数宏伟更宏伟。 ...

如果在一年前的今天，有人告诉我自己有一天会出国，而且是因为中了论文才出国，那么我肯定会觉得他是在开玩笑。的确，彼时的自己虽然开题，但连一篇论文都没有，严重的毕业焦虑让自己深陷在痛苦中，对那个时候的我来说，哪怕中一个ccfc都是莫大的好事了，至于中论文出国参加会议，只不过是类似考北大清华一样的梦想罢了。 ...

自己使用Linux作为日常操作系统这么久了，有一个问题一直困扰着我，那就是有的时候fcitx5会无法输入中文，这个问题非常的恼人，时间长了后我发现此问题基本出现在窗口切换的时候，特别是electron应用窗口。一个触发案例是这样的（以下窗口均为wayland窗口，桌面环境为plasma wayland）: ...

原本十一并不打算去玩，然而yq对旅行的热情还是让我参加了。30号晚上，在经过11个小时的车程后，我又踏上了这块告别了四年的土地，一瞬间心里生出一种奇妙的感觉，仿佛仅仅只是逃离东部、来到与之截然不同的一个世界，就已经值回票价。 ...

本文旨在快速实现一个神经网络后门模型，并记录基本的防御思路。 攻击 前置准备 导入库并设置超参数 import torch import torch.nn as nn import torch.optim as optim from torchvision import datasets, transforms from torch.utils.data import DataLoader, Dataset import numpy as np import matplotlib.pyplot as plt EPOCHS = 5 # 训练轮数 BATCH_SIZE = 64 # 批处理大小 LEARNING_RATE = 0.001 # 学习率 TARGET_LABEL = 0 # 后门攻击的目标标签，我们希望模型将带触发器的图片识别为 "0" POISON_RATIO = 0.1 # 投毒比例，在训练集中注入10%的后门样本 TRIGGER_SIZE = 4 # 触发器（白色方块）的大小，4x4像素 接下来是数据准备，这里使用MNIST数据集作为后门植入的目标 ...

写这篇文章的动机来自于今年面试腾讯的安全技术岗位时，对面一个安全知识都没有问我，更没有问我的论文，而是上来就问我大模型Agent相关的东西，因为他们想要做一个Agent去查看云平台告警日志。虽然这些都是一些很工程的东西，但是因为没有准备，自己还是被问的猝不及防的，特别是LangChain被问了很多，自己统统不知道，于是决定痛下决心快速入门一下，面经的参考来自知乎的一篇文章，由于文中所谓的高难度题目都是在基础和中等难度知识的基础上写一些案例代码，就不记录了。 ...

...

创建一个简单的自定义K8s Scheduler 在最近的论文工作中，我设计了一套面向安全的调度算法，为了实施这套调度算法，需要对k8s的scheduler进行自定义。整个过程并不困难，特此记录。 ...

Falco Talon 介绍 Falco Talon是一个新诞生没多久的项目, 其目的是在falco发现威胁之后提供一个统一的威胁响应框架, 而无需用户自己写代码去解析Falco的日志输出并处理威胁, 可以说falco talon的出现打通了威胁发现到威胁响应的环节. 根据官网的描述, falco talon 的工作流程如下: ...

记录一次域名购买并使用在隧道服务的经历 Godaddy 域名购买 其实Godaddy的域名还是偏贵的… 但一年50块钱的top域名还算可以接受就是了, 而且不用像在国内购买域名一样要实名制, 而且支持支付宝, 挺ok的. ...

Go and don’t return 这道题目从MinIO的一个已公开的未授权访问漏洞开始, 通过编写并慢慢完善CodeQL语句来检测该漏洞在代码中的位置. 随着题目的进行, 题目将目标将扩展到此类漏洞的各种变种, 难度逐渐加深, 非常适合用来入门和学习. 本文是用来记录我在阅读官方题解时的思考过程, 因为我在Part2就卡住啦hhhhhhh. ...

2024年11月16日到20号，不太平静的MEME圈中发生了一件有趣的事情。简单来说，一个北大出身的大V(0xAA_Science)发现了一个已经被原始开发者脱手的meme: scihub，并意识到了这是一个好机会，或许是帮助DeSci(去中心化学术)的好机会，亦或是赚钱的好机会，当然，更有可能的是二者兼有，总之，他购入了20%的scihub代币，并联系Scihub的创始人 Alexandra Elbakyan 计划分批次将代币捐赠。 ...

小说的主人公在偶遇一间奇妙的咖啡馆后, 通过店员们的引导开始思考起了人生的意义和价值, 并最终得到了启发. 这里记录书中几个有意思的片段. 有意义的三个问题: ...

这本书主要介绍了在进行以提升理解力为目的的阅读时所应该掌握的技巧, 这些技巧可以帮助提升阅读的效率, 节约时间的同时抓住重点. 注意, 这些技巧并不会让阅读变得更轻松, 相反, 读者消耗的精力可能会更多, 因为这些技巧要求读者更多地发挥其主动性, 然而, 这些技巧能够帮助读者更好地提升自己的理解力和知识吸收的速度, 并且有针对性地运用有限的精力. ...

这本书主要讨论了如何在工作过程中保持愉悦的心态, 进而提升工作效率, 保护精神健康. 作者认为愉悦心态可以帮助克服焦虑和过度的压力, 成功不会让你感觉愉悦, 但是感觉愉悦会为你带来成功. ...

目前单位实施了微信封锁,本文旨在记录绕过封锁的过程. 阶段一: 抓域名 使用了tcpdump抓取各个dns请求, 来获取需要代理的域名列表 sudo tcpdump -i any -n -s 0 port 53 但是抓到域名后加入daed的代理列表中还是无法登陆,怀疑是没抓全. ...

这几天被万智牌所吸引, 富有史诗感的画风, 复杂但不混乱的规则, 简洁的卡面语言, 丰富的卡片种类, 多样性的玩法……这些都是我在游戏王中所接触不到但怀念许久的, 在接触万智牌之前,这种怀念源自于过去的炉石传说,而在了解到万智牌后才发现,这些特质其实是万智牌所创造而让炉石继承下来的, 再加上略倾向于黑暗史诗的画风, 万智牌在很多维度上都比过去接触过的所有卡牌游戏更戳我的xp. ...

Deployment and Debugging of Admission Webhook in Kubernetes cluster Intro Dynamic admission control 允许开发者添加自己的逻辑代码来对提交给API Server的对象进行修改和验证, 是非常强大的功能. 本文将部署一组demo admission webhook, 包括一个validating webhook 和一个 mutating webhook, 并介绍webhook的调试方法. 本文主要使用和参考了从0到1开发K8S_Webhook最佳实践, 并通过查阅官方文档对其中的一些不适应新版本k8s的内容进行了修正. ...

该漏洞是论文工作 “Take Over the Whole Cluster: Attacking Kubernetes via Excessive Permissions of Third-party Applications” 挖掘到的, 对其进行复现可以更好地理解rbac的潜在风险. ...