1.设计安全的验证码（安全的流程+复杂而又可用的图形） 在前端生成验证码后端能验证验证码的情况下，对验证码有效期和次数进行限制是非常有必要的，在当前的安全环境下，简单的图形已经无法保证安全了，所以我们需要设计出复杂而又可用的图形，这就是一门学问了，12358的安全验证码对此学问做的就非常好 这样复杂程度高 而用户又能简单识别的验证码就是安全的典范。 2.对认证错误的提交进行计数并给出限制，比如连续5次密码错误，锁定两小时，验证码用完后销毁，这个在上面提到过，能有效防止暴力破解，还有验证码的复杂程度。 3.必要的情况下，使用双因素认证。 token对防暴力破解的意义 token是在后端代码中的一组随机生成数，在每次登陆时，会有一组隐藏的随机数加在登录账号和密码上进行验证，从而增强安全性，但这个措施一定安全吗？ 一般的做法： 将token以“type=‘hidden’ ”的形式输出在表单中； 在提交认证的时候一起提交，并在后台进行验证。 但我们在pikachu的前端代码中发现，token值被输出在了前端代码中，容易被获取，因此也就失去了放暴力破解的意义。 这样的措施我们只需要写一个可以自动获取token生成值的脚本，就可以实现暴力破解。

原文地址：http://www.zhimengzhe.com/linux/455987.html 在公司用的ubuntu系统，回来在自己的惠普暗影精灵4笔记本安装Ubuntu18.04版本问题很多，搜很多的教程都解决不了问题。最好才找到这篇教程，完美解决问题，非常感谢！ 在这里，我转发这篇文章希望更多的人看到。 主要是因为相关驱动导致live系统无法启动。 步骤1 按照常规方法刻录系统镜像到U盘，设置电脑从U盘启动，开机时按住F9(惠普是F9，其他型号的电脑请确认是否其他按键进入)直到出现Grub2界面。 步骤2 选择Grub引导菜单的第一项，按e键进入编辑模式，找到splash并在其后追加nomodeset参数。按F10保存并启动。 步骤3 此时应该可以正常启动系统安装镜像，但是没有网卡驱动并且显示分辨率非常低。接下来选择系统安装程序进行系统安装。 步骤4 系统安装完成后，重启系统并拔出安装U盘，然后重复步骤2。此时应该可以进入新安装的系统，但是因为没有相关驱动，会导致无线网卡无法使用并且分辨率非常低。 步骤5 先给笔记本插上网线联网，然后执行sudo apt update && sudo apt upgrade安装更新，最后手动或者从应用商店等安装显卡启动。 显卡驱动安装完成之后重启系统，此时应该可以正常使用。 原文地址:https://segmentfault.com/a/1190000016083191

bias step cut back more than 4 times. Cannot trap 这个是因为计算结果太粗糙而导致不收敛，使用trap参数可定义计算的折半次数。如果计算开始时候数值梯度太大，无法满足计算精度，电极的偏置步长将从最初值减小到原来的一半重新计算，如果结果还是太粗糙的话有折半计算知道满足精度要求。默认trap 次数是4次，如果初始值折半4次还很粗糙，计算将停止，并在实时输出窗口中显示不收敛的报错信息：max trap more than 4

Tor Browser 8.0.7 发布了，可通过 Tor Browser 项目页或分发目录获取。 新版本包含 Firefox 的重要安全更新。新版更新内容如下： 所有平台 更新 Firefox 至 60.6.0esr 更新 Tor 至 0.3.5.8 Bug 29660: XMPP 不再可以连接到 SOCKS5 更新 Torbutton 至 2.0.11 Bug 29021: 告知 NoScript 在 Tor Browser 中运行 Windows Bug 29081: Harden libwinpthread Linux Bug 27531: 为 fteproxy 新增 separate LD_LIBRARY_PATH Tor Browser Bundle 是一个基于 Firefox ESR (Firefox with extended support) 的 Web 浏览器，默认配置通过 Tor 和 Vidalia 实现了个人隐私保护和匿名。该版本包括三个扩展：Torbutton, NoScript 和 HTTPS-Everywhere。

正月十五晚上，在家刚吃完元宵接到电话，朋友公司遭受勒索病毒攻击，数据库文件被加密，黑客通过暗网勒索 15000 美金赎金。一听勒索软件，顿时觉得头大，只好死马当活马医了，开始行动。先看下病毒在每个目录留下的 txt 文件 CVMKJ-DECRYPT.txt。 可以看到该病毒的名称及版本，GandCrab v5.1，一顿百度，了解到，之前已经有某安全厂商对此病毒进行了一系列分析，直接拿来主义，站在巨人肩膀上。病毒加密文件如下，已脱密处理： 经了解，该病毒为 GrandCrab 家族的最新变种，采用 RSA+AES 结合的加密算法，中毒后多目录下会保存一个名为 CVMKJ-DECRYPT.txt 的文件，且文件后缀.cvmkj 为随机字符，本案例中为.cvmkj。该入侵一般通过 rdp 弱口令爆破登陆，后通过 url 下载病毒，或通过手动投毒。为扩大战果，通过下载内网扫描工具，继续对内网进行爆破扫描。 回到本案例，查看日志，发现 windows envent log 服务被关闭，系统安全日志被整段删除，由 2015 年底一下跳到应急 2019 年 2 月 20 日。在一番 kill 相关进程后，windows envent log 重启成功，随后继续排查。 查看本地用户，发现 Administrators 组中多出一个名为 admin1 的管理员用户，命令 net user admin1，发现该用户为 Administrators 组成员，且最近登录时间为 2019 年 2 月 19 日 01:08，说明该服务器已经完全沦为黑客肉鸡。 继续排查，通过删除文件恢复，发现黑客曾经在 download 目录中下载了 NLBrute 1.2 工具，并且使用名为 passCina1.txt 的密码字典进行了内网爆破。通过询问管理员，发现管理员使用弱口令密码，更确信黑客通过 rdp 爆破入侵。随后使用 Process Monitor 对内存中的进程进行监控分析，未发现病毒样本，重新创建相关数据文件，重起服务器，未发现新文件被加密。经询问管理员得知，管理员在第一时间在进程管理中发现一个名为 process hack2 的进程，并将其删除。 正当焦头烂额，无计可施之际，上海安服朋友群内推送一篇文章，国外大牛于 2019 年 2 月 19 日刚发布了GandCrab v5.

我在安装过程参考了Tor获得最新网桥ip及设置方法，http://www.mottoin.com/reports/112817.html两篇文章，不过在安装过程中也遇到了一些问题，总结一下。 一、配置不成功 一开始我是按照集成的网桥进行连接，如下图的第一个（我们要优先选择集成网桥，如果不行的话，才会选择自定义网桥），我把所有的传输方式都试了也不行，于是我选择了第二个，自定义的网桥直接去https://bridges.torproject.org/bridges这个网址里复制就行，全部复制之后粘贴上去就行。我试了很多次，但都不成功，所以我选择了另一种。另一种获取网桥的方式是发送电子邮件至 [email protected]。注意：必须使用电子邮箱发送请求：Riseup、Gmail 或 Yahoo。邮件内容是get bridges 的邮件，主题随意。几分钟之后，对方发来回复中，一次有3组tor代理地址和端口。我试了邮件给我的网桥，很快就好。 二、自定义网桥复制的时候，需要全部复制，不要只复制前面的套接字，后面一串也需要

From：https://blog.csdn.net/jsd2honey/article/details/62237768 此文针对很少涉及深网与暗网的读者。 主要内容包括：什么是深网和暗网，如何访问深网和暗网以及如何搜索暗网三大部分。 闲话少说，开始： 一、深网 深网是互联网上无法通过普通方法访问到的内容，这些普通的方法包括使用谷歌、百度等搜索引擎。深网的内容主要是一些需要某些条件如注册、付费，才能访问的内容，如数据库和某些服务。 下面是访问深网的工具： FreeLunch（免费午餐） 640.webp (1) 使用这个工具可以访问到经济学、人口学和金融方面的数据，普通搜索引擎的爬虫无法爬到的内容。 Shodan 640.webp (2) 这个搜索引擎在安全圈已经任人皆知了，有人叫它“撒丹”，也有人戏称之为“傻蛋”。不管叫什么，它搜索的内容是物联网社备。如包括摄像头、路由器等智能家居，还有一些工控系统等。国内类似的一个搜索引擎就是 ZoomEye，但后者全面些，还可搜索网站组件。 二、暗网 暗网简单的解释就是加密网络，它必需使用匿名代理工具才能访问。 有人认为暗网是一个丑陋凶险的地方，的确，暗网里有儿童色情和非法物品的售卖，比如武器和毒品。但这些人不知道的是，实际上这些邪恶的东西，只占暗网的很小一部分，大部分内容则是有价值的资料和信息。 2014年，一个慈善机构——互联网观察基金，与执法部门和互联网服务提供商合作清除儿童色情网站。他们共发现了3.1万个包含儿童色情图片的网址，但只有51个，即 0.2% 属于暗网。 还有人以为暗网是政府和执法机构很难触及的法外之地，对于这种认识，一个字足以回答：错。 下面是如何安装和使用访问暗网的工具TOR： 下载Tor浏览器 https://www.torproject.org/projects/torbrowser.html 安装后启动程序 点击“Coonect”（连接），出现下面的窗口： 等待一会儿，Tor浏览器的窗口出现后，就能够开始暗网之旅了！ 三、探索暗网 如何搜索暗网呢？下面是一些 基于 Tor网络 的 搜索引擎： Ahmia.fi 这是一个基础的Tor隐藏服务搜索引擎，内容不是很庞大，但做为暗网之旅的开始还是不错的选择。 普通URL: https://ahmia.fi 暗网URL： msydqjihosw2fsu3.onion Torch（火炬） 这是最好的Tor网络搜索引擎，有着巨大的数据库，约110万个页面。 暗网URL： http://xmh5752oemp2sztk.onion Grams 这个引擎是专门设计用来搜索暗网的，堪称暗网中的谷歌。 暗网URL： http://grams72tru2gdpl2.onion Not Evil（不做恶） 这是个简易搜索引擎，但，没有广告。 暗网URL： http://hss3uro2hsxfogfq.onion Sinbad Search（辛巴达搜索） 另一个拥有大型数据库的Tor搜索引擎。 暗网URL： http://sinbad66644fr5lq.onion 四、另一个暗网 上面介绍了Tor网络的访问，下面我们介绍一下另一张暗网，I2P。1. 下载 I2P：https://geti2p.net/en/download 2. 安装后并启动程序，即可看到 I2P 的路由控制台( Router Console )：

出现在结束了一次mongodb安装进程的情况下，再次安装，实际上是因为进程没有清除干净，找到进程中描述为Windows 安装程序的进程，杀掉多余的进程即可，如下方法为解决验证问题，得到正确提示 Fixing “Windows Installer Coordinator” loop 2013-08-02Vaidotas Sometimes when you install software, you got stuck at window which says “Windows Installer Coordinator” There is easy fix for this, which involves changing setting of Group Policy. To disable this group policy you need to perform these steps: 1 ) Log on to the system with a User that has Administrative Privileges 2 ) Open the Windows Control Panel 3 ) Perform a search for Group Policy

【Lee-Linux-01】 manjaro安装 manjaro使用初衷 听说manjaro是最流行的Linux版本，世界排名第一？不过最吸引我的是，AUR的丰富源，pacman的便捷安装。 manjaro安装 制作系统盘【Rufus的官网】注意：写入模式为DD 启动安装 注意：driver选择，尽量选择nofree（会安装闭源驱动），觉得无所谓的可以选free 更新系统&选择中国源镜像 依次执行以下命令： sudo pacman -Sy 更新仓库（如果版本比较低） sudo pacman-mirrors -i -c China -m rank 排列中国源（选择清华的，比较稳定，老牌源值得拥有） 编辑/etc/pacman.conf文件，末尾添加 [archlinuxcn] Server = https://mirrors.tuna.tsinghua.edu.cn/archlinuxcn/$arch pacman -Syyu 更新系统 sudo pacman -S archlinuxcn-keyring 导入公钥 安装搜狗拼音 sudo pacman -S fcitx-sogoupinyin sudo pacman -S fcitx-im （直接回车，默认安装全部） sudo pacman -S fcitx-configtool 编辑～/.profile，添加以下内容： export GTK_IM_MODULE=fcitx export QT_IM_MODULE=fcitx export XMODIFIERS=”@im=fcitx” 执行reboot 重启后即可生效 安装谷歌浏览器 pacman -S google-chrome 安装WPS pacman -S wps-office 安装WPS pacman -S ttf-wps-fonts 安装字体

看完《无敌破坏王2：大闹互联网》，资深迪粉的我不禁感慨，我迪自黑和黑起互联网来，也是无人出其右。 不仅深度“曝光”了互联网充斥着木马病毒、弹窗广告、暗网之类的“阴暗面”，一幕热门视频网站“BuzzzTube”所展现的“人间真实”也令人印象深刻：在网络平台上，算法可以让一个普通人成为点赞无数、收入激增的网红，却难以阻挡网友们赠送的“人参”万两。 当拉尔夫在后台惊愕地看到无数负面评价并为之难过时，网站的负责人“赞姐”（Yesss) 也只能建议他——“别看评论区……” 这不就是我们每天都会在网络中围观的大型杠精现场吗？ 无论国别、无论次元，只要网上冲浪，就会遇到水军、键盘侠、喷子、杠精……总有一款奇葩网友在线教你做人，社交媒体上的“网怒症”也以指数级增长。 当然，平台们也并非无所作为，只不过，他们似乎总是用不对方法。 比如微博去年就打响了史上最狠评论区保卫战，推出了净化功能“拉黑禁言”，只要评论引发博主不适并被拉黑，乱发言的账号三天内无法再发出任何一条评论。推出后确实震慑到了不少杠精，不过弊端也很明显，那就是依赖网络红人大v博主们一人战杠精，工作量和维护成本也未免也太大了吧？ 既然人肉审查效率太低，那采用自动化呢？Youtube和Facebook以实际行动告诉我们，想要让系统精准识别哪些是垃圾账号和恶意行为，实在是做不到啊！ 前不久，Facebook一口气删除783个“水军”帐号，原因是存在虚假宣传和舆论攻击行为。其中356个Facebook帐户和162个Instagram帐户，早在2010年就开始在网络任性活动了。但由于他们很容易伪装自己，导致系统根本无法自动清理，最后还是靠手动审查才发现了蛛丝马迹。 看来，想要让机器像人一样精准识别网络行为背后的意图，以当前NLP的阅读理解能力，真的是想太多。 也因此，去年一篇利用人类眼动来提升NLP模型性能的论文，一经问世，就迅速受到关注，为与网络暴力斗智斗勇的程序员们打开了一扇新的技术之窗。 我们不妨就以这个最新研究成果为契机，来猜想一下，技术如何才能打赢这场争夺网络话语权的无声战争。 机器之殇：远不够完美的RNN 在了解这个新的RNN模型做了哪些创新之前，我想有必要先简单介绍一下，NLP的世界里一般是如何使用注意力机制来完成任务的。 以最为常用的序列对序列（sequence to sequence）模型为例，比如说我们要将中文翻译成英文，如果我们拥有大量的双语语料，就可以得到两个知识丰富而结构相似的编码和解码网络，从而训练出很有效的模型，来实现很好的机器翻译效果。 但序列模型对机器的记忆力提出了比较残酷的要求，需要先背诵全文再翻译，如果是长篇大论，机器就放飞自我了。 于是，注意力模型出现了。 试想一下，人类是如何翻译的（此处致敬高考英语老师）：先完整地读完整个句子，结合上下文理解大概含义，然后对关键单词和短语重点思索，再着手进行翻译。 而注意力模型试图模仿的正是人类这种理解能力。它被设计成一个双向的RNN网络，每个单元由LSTM或GRU组成，能够向前和向后获取信息，通俗点说就是“联系上下文”。 每次翻译时，注意力模型会根据待翻译部分以及上下文，给予不一样的注意力（权重参数），接着循序渐进地翻译出整段话。 注意力机制解决了传统神经机器翻译中基于短语的生搬硬套，但并不意味着毫无缺陷。 它的不完美主要体现在三个方面： 1.需要大规模标注数据。 原始RNN在解码过程中，机器的焦点是分散在整个序列当中的，需要先对序列上的每个元素进行标记，再进行对齐操作。里面就包含了词性标注、CHUNK识别、句法分析、语义角色识别，甚至包括关键词抽取等很多子任务，显然不是一个小工程。 2.增加额外运算负担。 人类在阅读时，并不关注所有的字，往往会自动忽略掉不想关注或无意义的部分，只重点处理关注需要注意的那一部分。比如“Courage is like a muscle”中，“Courage”和“muscle”就会让人多看两眼。这样做不仅能够降低任务的复杂度，还能避免脑负荷过载。 而NLP的注意力机制虽然是在模仿人类行为，但机器必须对所有对象进行处理和计算，还要用一个矩阵去存储不同字节的权重，这些都增加了额外的运算压力和成本。 3.容易出现归纳偏置。 通俗点说，就是机器在遇到某种没有见过的东西时，会倾向于给出一个简单的预测或判断，以此来决定输出规则。 比如通过分析，它认为出现“but”“不”等单词，就说明对方会开始释放负面甚至攻击性的语言了。但要是遇上“我跳起来反手就是一个么么哒”之类玩梗的骚操作，可能就会误伤友军。 了解了注意力机制的基本工作方式，我们就赶紧来看看这项新的研究成果，究竟是凭什么惊艳了整个学界吧。 NLP希望之钥，还掌握在人类手中 一句话概括，就是论文作者Maria Barrett和她的同事们，将人类在阅读时的眼部动作引入了RNN网络的训练中，使其能够在标注型文本和人类注意力信息之间来回切换，以此获得性能更好的循环神经网络。 具体是怎么实现的呢？ 首先，研究人员利用两个公开的眼动追踪语料库：Dundee Corpus和ZuCo Corpus来研究人类的注意力机制。 其中，Dundee Corpus包含了20篇报纸文章，共2368个句子，阅读屏幕可以感知眼部动作。ZuCo Corpus则包含了1000个单独的英语句子，有一部分来自斯坦福情感树库，通过红外染色仪来记录眼睛运动和面部情绪分析。 根据这些人类阅读语料时的眼睛动作追踪数据（比如注视持续时间MEAN FIX DUR），得到了一个“人类注意力”的数据集。 第二步，使用人类眼动数据集与标注好的序列数据集，来共同训练RNN模型。 从两个数据集中随机选择一个数据，让机器判断属于哪一个数据集。 如果属于序列数据集，则进一步判断该句子的类别，计算并预测标签blabla；如果属于人类眼动数据集，则计算每个单词的权重（即attention值），再进行归一化（最小平方差）处理。 那么，经受了人机双重挑战的新RNN网络效果如何呢？接下来，研究人员通过三个任务对其性能进行了测试： 任务一：句子情感分析。使用新RNN来检测机器是否能识别出数据集（SEMEVAL TWITTER POS | NEG）中的负面句子和非负面句子； 任务二：语法错误检测。让新的RNN阅读经专家注释的英语论文（数据集FCF），并找出其中的语法错误，与正确的句子区分开； 任务三：暴力语言检测。研究人员安排了20940条设计性别歧视和种族主义等辱骂型语言的推特（数据集Waseem和Hovy），来对新的RNN进行测试。 最终的实验结果显示，加入了人类注意力训练之后的RNN，找重点的能力，以及预测的精准程度，要远高于原本的序列模型。 这项研究成果很快就引起了反响，并获得了NLP顶会CoNLL 2018年度最佳研究论文特别奖。 那么，接下来请回答一道送分题：这项成果有何特别之处？ RNN的一小步，NLP的一大步 将人类注意力引入机器学习算法的训练，究竟有何意义？我来抢答一下： 首先，降低了对序列分类标注语料的依赖，让NLP模型的训练有了更多可能性。