- 综合排序
- 最热优先
- 最新优先
- 来自专栏大模型应用
大模型应用:医疗行业大模型:从生成前校验到生成后审计的应用实践.73
;“生成前校验”就像医生看病时,先核对患者基本信息是否准确,“生成后审计”就像诊疗结束后还要整理病历并由上级医师审核,形成一套闭环的质量控制体系。 1.3 生成后审计 大模型完成内容生成并输出后,对输出内容的准确性、合规性、安全性、实用性进行检查、验证、修正和归档的过程。 原始输入内容、脱敏后的输入内容。2. 生成前校验的结果、处理记录。3. 大模型生成的原始输出内容、审计后的修正内容。4. 生成后审计的结果、人工复核记录、审核人员信息。5. 校验/审计通过率趋势图这个图用来展示多批次(按日期)生成前校验通过率、生成后审计通过率的变化趋势,直观呈现管控效果的优化过程,贴合落地实践中的数据追踪需求。 图例说明:直观呈现“生成前校验通过率”始终高于“生成后审计通过率”,符合实际应用中前校验是基础过滤,后审计是深度质检。
16143编辑于 2026-04-11 - 来自专栏linux运维
安全审计报告问题:安全审计报告生成失败,无法分析
检查报告生成工具首先确认使用的报告生成工具是否正确安装并运行。 验证日志数据完整性报告生成依赖于审计日志数据,确保日志文件完整且未损坏。 # 查看审计日志是否存在ls -lh /var/log/audit/audit.log # 检查日志内容是否正常ausearch -k user_modification如果日志缺失或损坏,需恢复日志或重新启用审计服务 调整报告生成命令根据工具的不同,使用正确的命令生成报告。 自动化生成:将报告生成脚本加入定时任务,定期生成报告。
69010编辑于 2025-02-09 - 来自专栏运维开发王义杰
如何用Python生成符合FIPS审计规则的密码
而在企业级应用和政府项目中,通常还需要满足特定的安全标准和审计要求。 在本篇文章中,我们将通过Python实现一个生成符合FIPS审计规则的密码的方法。 FIPS 审计规则简介 FIPS 有很多标准和规范,这里我们关注的是关于密码强度的部分,规定通常包括: 密码长度:通常至少应为12个字符。 复杂性:包括大写字母、小写字母、数字和特殊字符。 Python 实现 要生成符合 FIPS 标准的密码,我们可以使用 Python 的 random 和 string 标准库。 总结 生成一个符合 FIPS 审计规则的密码是网络安全的一部分,尤其在需要遵守严格规定的场合更为重要。以上 Python 代码提供了一个简单但有效的解决方案。
48520编辑于 2023-09-19 - 来自专栏全栈程序员必看
PHP审计之WeEngine审计
PHP审计之WeEngine审计 前言 审计该CMS加深一下对于MVC架构的php审计流程 梳理路由 打开代码看到index.php文件 if($_W['os'] == 'mobile' && (! c=account&a=welcome 漏洞审计 定位到漏洞位置web/source/site/category.ctrl.php 定位到176行 if (!
1.8K30编辑于 2022-07-13 - 来自专栏红蓝对抗
Java代码审计之jspxcms审计
因为刚开始代码也那么多就没有直接看代码 先熟悉熟悉有什么功能点 XSS 随便进入了一篇文章 然后评论 这里发现是没有xss的 但是后面来到“我的空间” 点击评论的时候 这里触发了xss 这里相当于是黑盒摸到的 单既然是审计 搜索 看看哪里用到了这俩 刚还这里的type=comment对应上之前访问时候的type 所以访问这个页面的时候能触发xss payload没有进行任何过滤 这个页面也没有进行转义 SSRF 在审计 我们来执行 反序列化的细节就不在这篇文章叙述了 请听下回分解 参考:https://www.freebuf.com/articles/others-articles/229928.html JAVA代码审计入门篇
5.3K50编辑于 2023-02-28 - 来自专栏全栈程序员必看
php源码审计_静态代码审计
1、安装相关软件,如Sublime text、 Notepad++、editplus、 Seay源代码审计系统等 2、获得源码,可以到网上下载各种网站源码 3、安装网站 审计方法: 通读全文法:麻烦但全面 敏感函数参数回溯法:高效常用,Seay源代码审计系统 定向功能分析法:主要根据程序的业务逻辑来审计,首先是用浏览器逐个访问,看看程序有哪些功能,根据相关功能推测可能存在的漏洞 审计的基本流程: 1、整体了解 、()、|位或、&位与、~位非、 一个空字符串可以用在等号后不写任何东西表示,或者用 none 关键字: foo = ; 将foo设为空字符串 foo = none ; 将foo设为空字符串 安全模式下执行程序主目录:safe_mode_exec_dir=/var/www/html 使用安全模式后,system()和其他程序执行函数将值可以在此目录下执行程序。 错误信息控制:display_error=On 调试时On;站点发布后应关闭,以免暴露信息。
11.2K20编辑于 2022-11-09 - 来自专栏MongoDB中文社区
审计
MongoDB Manual (Version 4.2)> Security > Auditing 启用和配置审计输出 审计事件和过滤器 审计保证 MongoDB 企业版包含针对 mongod 和 mongos 实例的审计功能 。 审计功能使管理员和用户可以跟踪具有多个用户和多个客户端应用的 mongodb 的运行情况。 [1]一个被中止的事务中的操作仍会生成审核事件。但是,没有一个审核事件指示事务被中止了。 审计保证 审核系统将每个审核事件[2]写入审核事件的内存缓冲区中。MongoDB定期将此缓冲区写入磁盘。 如果审计事件条目对应的操作影响数据库的持久状态,如修改数据的操作,则MongoDB始终会在将审核事件写入磁盘之前将事件条目写入日志。
1.9K10发布于 2020-04-24 - 来自专栏python-爬虫
jwt认证生成后的token后端解析
token没有过期:返回用户信息 如果token过期:抛异常,过期的异常是jwt.ExpiredSignature authenticate_credentials(jwt_decode_handler解析后信息 DEFAULT_PERMISSION_CLASSES': [ # 'rest_framework.permissions.AllowAny', # 全局配置:一站式网站(所有操作都需要登录后才能访问 jwt配置 import datetime JWT_AUTH = { 'JWT_EXPIRATION_DELTA': datetime.timedelta(seconds=1000), #生成
3.8K50发布于 2020-06-19 - 来自专栏FreeBuf
Prithvi:一款针对安全审计活动的安全报告生成工具
关于Prithvi Prithvi是一款针对安全审计活动的安全报告生成工具,该工具专为安全审计活动设计,可以帮助广大研究人员以自动化的形式申城安全审计报告。 该工具的使用非常简单,它可以给广大研究人员提供下列功能: 1、支持添加OWASP类型以及详细建议; 2、支持添加多个项目并单独进行处理; 3、支持通过概念验证在不同项目上添加多个安全漏洞; 4、在生成安全审计报告时 ,支持生成.docx文档格式; 5、目前,开发人员正在尝试添加更多的功能,例如Chart等; 系统要求 1、支持的操作系统:macOS 64位、Windows 32位或64位; 2、内存
2.4K20编辑于 2023-03-29 - 来自专栏pankas的技术分享
springboot代码审计学习-newbeemall审计
前言 参考 @s31k3 师傅的 java SpringBoot框架代码审计 ,本文仅复现这位师傅的教程,用于学习springboot代码审计,特此笔记,原文请关注 @s31k3 环境搭建 审计的项目是 基础配置 使用IntelliJ IDEA打开项目文件夹,配置好SDK后IDEA会以maven项目打开并自动下载依赖包。 同时审计其他地方也未发现有任何的过滤或替换。但这里没有XSS成功,原因是项目使用了 thymeleaf 模板来渲染,模板自带有字符转义的功能。 这里对搜索的字符串显示使用了 th:text 输出的是转义后的字符串。 想要得到未经过模板转义后的字符串通过 th:utext 来实现,全局搜索下 找到了这两处 第一处在 detail.html 中。是显示商品的介绍。
6.4K41编辑于 2022-11-20 - 来自专栏yuancao博客
代码审计
目录 什么是代码审计 代码审计的三种方法 1.通读全文法 2.函数回溯法 3.定向功能分析法 分析过程 工具 主要代码审计方法 1.通读全文法 2.函数回溯法 1.跟踪用户的输入数据 2.敏感函数参数回溯 函数回溯发审计常用漏洞 Xss 审计 SQL 注入 任意文件下载 文件上传 文件包含 ssrf CSRF 3.定向功能分析法 1.程序初始安装 2.站点信息泄露 3.文件上传 4.文件管理 5. 登录认证 6.数据库备份恢复 7.找回密码 8.验证码 什么是代码审计 代码审计(Code audit)是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析。 4.文件管理 5.登录认证 无密码登录,万能账号,万能密码登录 6.数据库备份恢复 注册一个用户,用户名是个一句话木马,然后将数据库导出备份,用户名 7.找回密码 8.验证码 找到加密的密码,偏移量,生成同样的 或者找到cookie的生成规律,然后cookie登录
3.7K52发布于 2020-10-10 YashanDB审计
# 审计管理员审计管理员(AUDIT_ADMIN角色)可以创建和管理审计策略,可以查看审计日志。为了职责分立,增设了AUDIT_VIEWER角色可以查看审计日志。 # 审计范围YashanDB对用户提供如下方面的审计管理: 权限审计 权限审计是指对YashanDB的所有系统权限进行审计,当对某个系统权限启用审计策略后,只要在SQL语句或其他操作中使用了该系统权限都会被审计 角色审计 YashanDB提供角色审计功能,在某个角色上启用审计策略后,所有直接被赋予给该角色的系统权限就可以被审计。 审计策略被创建后并不生效,还需通过AUDIT POLICY语句对其进行使能。使能后,用户执行的操作在审计项内时,会触发审计。 审计策略被成功创建后,可通过AUDIT_UNIFIED_POLICIES视图查看其定义信息。
29100编辑于 2025-03-04- 来自专栏SEian.G学习记录
利用开源审计插件对mysql进行审计
今天写写mysql审计的,在这里分享一下! 假设这么一个情况,你是某公司mysql DBA,某日突然公司数据库中的所有被人为删了。 mysql本身并没有操作审计的功能,那是不是意味着遇到这种情况只能自认倒霉呢?现在企业级的审计系统非常的多,但都是要monery 本文就将讨论一种简单易行的,用于mysql访问审计的思路。 It was recently updated to support MySQL 5.7 备注:发现该插件貌似不支持审计日志自动切割,感觉这个查看起来不是特别的方便 下载地址:https://bintray.com 8、开启后执行任何语句(默认会记录任何语句,有语法错误的不会记录),然后去mysql数据目录查看mysql-audit.json文件(默认为该文件)。 最后为了保证重启数据库,配置不丢失,修改my.cnf 配置文件,将下面的配置添加到[mysqld]中,所以在配置文件中my.cnf加入参数: audit_json_file=on #保证mysql重启后自动启动插件
3.5K20发布于 2021-03-03 - 来自专栏只喝牛奶的杀手
代码审计
项目管理中经常讲,合规大于天,在工程上审计部门也会对项目进行代码审计。代码审计和代码审查有什么不同呢? 代码审计和代码审查是软件开发中两个不同的过程,它们在目的、方法和执行时机上有所不同。 1. **方法**: - 代码审计通常由安全专家或专门的审计团队执行,他们可能使用自动化工具和手动分析技术来检查代码中的漏洞和风险。 虽然代码审计和代码审查都是重要的软件开发实践,但它们的目标和方法有所不同,因此在软件开发过程中,通常都会同时进行这两种活动以确保代码的质量和安全性。 单例双重检查锁定 Spring Boot DevTools 发现一个不错的代码审计学习整理的项目,对代码审计感兴趣的小伙伴可以去看看。 代码审计只是项目安全的一部分,安全架构包括身份认证、访问控制、内容安全、监控审计、备份恢复等,包括各个维度的安全。安全架构在4A架构中承上启下。合规和效率,需要不断的权衡和取舍。
1.1K10编辑于 2024-06-14 - 来自专栏python3
MySQL审计
线上的数据库,开发可以直接navicat软件直接操作。一旦发生数据泄露,后果严重。需要禁止使用navicat,使用命令行操作,并且能记录每个开发执行的SQL语句。
2.2K10发布于 2018-08-02 - 来自专栏漏斗社区
代码审计| WebGoat源码审计之XXE注入
WebGoat是一个基于java写的开源漏洞靶场,本期带来WebGoat的XXE注入攻击例子及相对应的JAVA源码审计。 上一期带来的是WebGoat关于SQL注入的审计文章。 并赋给Comment类的comment实例,说明经过parseXml方法处理后的类型为comment,最后comments.addComment(comment, false);来添加评论。 简单来说,JAXB提供了将XML实例文档反向生成Java对象树的方法,并能将Java对象树的内容重新写到XML实例文档。 1.
4.2K80发布于 2018-05-15 - 来自专栏linux运维
安全审计配置问题:安全审计配置错误,导致审计数据不准确
检查当前审计配置首先确认当前的安全审计工具或服务是否正确配置。 /etc/shadow -p wa -k shadow_modification -a always,exit -F arch=b64 -S execve -k command_execution保存后重新加载规则 验证审计日志检查审计日志是否记录了预期的操作。 max_log_file = 8 # 单个日志文件最大大小(单位:MB)num_logs = 5 # 保留的日志文件数量max_log_file_action = ROTATE # 达到最大大小时轮换日志保存后重启服务 # 示例:使用 ausearch 分析特定用户操作ausearch -ua <UID> # 示例:使用 aureport 生成报告aureport -au # 用户认证报告aureport -f
1.4K10编辑于 2025-02-09 - 来自专栏全栈程序员必看
php源码审计_代码审计入门cms
目录 一:代码审计的定义 二:为什么选择PHP学习代码审计 三:入门准备 四:PHP常见的套路 4.1 代码结构 4.2 目录结构 4.3 参考项目 五:如何调试代码 六:代码审计的本质 ---- 一: 代码审计的定义 通过阅读一些程序的源码去发现潜在的漏洞,比如代码不规范,算法性能不够,代码重用性不强以及其他的缺陷等等 从安全人员的角度来看是:查找代码中是否存在安全问题,推断用户在操作这个代码对应功能的时候 其次代码审计可以发现一些扫描器难以发现的细节,比如某一个特定的功能场景,只有当你传入特定的参数值的时候,才会触发这个 漏洞,这种情况是扫描器很难发现到的。 代码审计是一种经验的对抗和压制:如果我知道的东西比你多,经验就能压制你,如果你的功能没有考虑到这一点,那么就会存在 漏洞。 例如对于富文本xss过滤方案,业内最优解已经产生,而你编程的时候没有使用最优解,而是从网上超了一段代码来使用,那 么在审计的时候就产生了绝对压制。 如果你的水平和开发的水平不。
2.4K20编辑于 2022-11-10 - 来自专栏JavaEdge
分库分表后全局ID生成方案
使用生成的唯一ID作为主键 因此,更推荐使用生成的ID作为数据库主键。不仅是因为其唯一性,且一旦生成就不会变更,可随意引用。 单库单表时,使用数据库自增字段作为ID,最简单,对研发也透明。 但分库分表后,同一逻辑表的数据被分布到多个库中,若使用DB自增字段主键,则仅可保证在该库中唯一,无法保证全局唯一。 1 数据库自增id 提供一个专门用于生成主键的库,这样服务每次接收请求都 先往单点库的某表里插入一条没啥业务含义的数据 然后获取一个数据库自增id 取得id后,再写入对应的分库分表 优点 简单,是个人都会 当数据库分库分表后,使用自增字段就无法保证 ID 的全局唯一性了吗? 1.使用数据库的自增,设置起始值和步长不一样,不是一样可以实现吗? 缺点:需要自己实现集群中机器增减后更新负载均衡策略的逻辑。
1K20编辑于 2022-11-30 - 来自专栏MixLab科技+设计实验室
代码生成 NFT 后,艺术家能否躺着赚钱?# Art Block 生成艺术
image.png Art Blocks 是第一个专注于可编程生成内容的NFT交易平台,平台内容存储在以太坊区块链上。用户付费后,平台将算法生成作品发送到用户的以太坊账户。 每个“种子”,也称为“哈希字符串”,是在铸造令牌时以伪随机方式生成的十六进制字符串。每个字符(0-9,af)代表一个 0-15 的值,每对字符(“aa”或“f2”)代表一个 0-255 的值。 项目锁定后,艺术家仍然可以修改描述和每次迭代的价格,以适应以太坊价格的变化。 理论太过抽象,上实例展示效果? # 作者描述 该项目以中国传统建筑和中国画为灵感,利用算法生成不同图案的窗棂和不同姿态的花草树木,与可能出现的雨雪景象一起,构成了一个具有东方审美韵味的画框。 library: p5js 小杜:wow,中国风的生成式NFT!这让我想到了如果联动本土博物馆开展文创项目,或许会碰撞出精彩的内容。
90120编辑于 2022-04-12
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号