Bleeping Computer 网站披露，拥有 500 万安装用户的 WordPress 网站数据迁移插件 All-in-One WP Migration 存在未经身份验证的访问令牌操作漏洞，攻击者可借此访问网站敏感的数据信息。 漏洞被追踪为 CVE-2023-40004，允许未经身份验证的“用户”访问和操纵受影响扩展上的令牌配置，使网络攻击者将网站迁移数据转移到自身的第三方云服务账户或恢复恶意备份，一旦成功利用 CVE-2023-40004 ，导致包括用户详细信息、关键网站数据和专有信息等数据信息泄露。 All-in-One WP Migration 是一款流行的 WordPress 网站迁移工具，适用于非技术和经验不足的用户，允许将数据库、媒体、插件和主题无缝导出到一个易于在新目的地恢复的单个存档中。 Patchstack 表示插件供应商 ServMask 提供的各种高级扩展都包含相同的易受攻击代码片段，这些代码片段在 init 函数中缺乏权限和 nonce 验证。（该代码还存在于 Box 扩展、Google Drive 扩展、One Drive 扩展和 Dropbox 扩展中，这些扩展都是为了方便使用上述第三方平台的数据迁移过程而创建。） 好消息是，由于 All-in-One WP Migration 只在网站迁移项目中使用，通常不会在其它任何时候激活，因此在一定程度上缓解了漏洞带来的安全问题。 供应商已发布漏洞安全更新 2023 年 7 月 18 日，PatchStack 研究员拉菲-穆罕默德（Rafie Muhammad）发现了 CVE-2023-40004 漏洞，随后便报告给了 ServMask 。2023 年 7 月 26 日，供应商 ServMask 发布了安全更新，为 init 函数引入了权限和非 nonce 验证。 已应用的补丁（Patchstack） 建议受影响的第三方扩展用户升级到以下修复版本： Box 扩展：v1.54 Google Drive 扩展：v2.80 OneDrive 扩展：v1.67 Dropbox 扩展：v3.76 此外，研究人员还建议用户使用最新版本的（免费）基础插件 All-in-One WP Migration v7.78。 文章来源： https://www.bleepingcomputer.com/news/security/wordpress-migration-add-on-flaw-could-lead-to-data-breaches/ ...

勒索软件领域的演变已经从涉及Windows有效载荷的传统方法，转变为针对其他平台（最明显的是Linux）的方法。在这种转变中，勒索软件运营商正在缩短不同有效载荷发布之间的时间间隔，并在不同的平台上实现功能均等。 通过有策略地利用Conti、Babuk或Lockbit等知名勒索软件家族的代码，勒索软件运营商正在重用和修改代码库，以创建新的攻击技术。随着越来越多的此类事件曝光，安全团队在防御中保持警惕和适应性变得至关重要。 本文将重点介绍最近发现的几个勒索软件家族，它们都在运行后不久就释放了以Linux/ ESXi为重点的有效载荷。了解这些有效载荷的能力是衡量未来风险的重要一步，也是帮助安全团队有效应对的关键。 Linux勒索软件威胁的兴起 回顾四五年前，知名勒索软件运营商重点关注的还是运行Windows的设备。非windows版本的有效负载需要额外的技能和时间来开发和发布。现在的情况却并非如此，像Rust和Go这样的语言允许恶意软件开发人员快速进行多平台移植。 我们今天看到的威胁场景包括勒索软件运营商同时向多个平台释放有效载荷。在这种方法中，通常针对windows的有效负载与针对linux和/或ESXi的有效负载之间不再存在明显的时间间隔。此外，现在跨平台的有效载荷显示功能均等已成为标准。这些以Linux和ESXi为重点的locker包含了其Windows对应版本的所有必要功能。 现代勒索软件运营商也越来越多地重用构建器和代码，或者修改代码库以满足其需求，同时将主要代码作为模型进行维护。安全研究人员指出，这些漏洞的主要来源是Conti、Babuk和LockBit。这些变体能够针对Linux和VMWare ESXi环境，其目的是加密托管在ESXi服务器上的虚拟机（VM），这些虚拟机通常对业务操作和服务至关重要。 通常，攻击者会利用ESXi中的漏洞、弱凭据或其他安全漏洞来访问虚拟化环境。有效地瞄准和加密虚拟机的能力对勒索软件运营商非常有吸引力。通常在几分钟内，完全虚拟化的基础设施就会被正确且强大的有效负载加密和破坏。 MONTI Locker MONTI Locker的历史可以追溯到2022年中期，当时，它曾针对VMware ESXi 服务器发起了多次攻击。 最新版本的MONTI ESXI勒索软件支持各种命令行参数，其中许多是从Conti继承的，MONTI Locker借用了Conti的代码。然而，最近有迹象表明，MONTI Locker背后的运营商正朝着更加定制化的方向发展。 研究人员最近记录了一个样本，该样本似乎摆脱了旧时基于Conti的加密器以及一些命令行参数。这些较新的示例已删除size、log和vmlist参数。 MONTI Locker可用的命令行参数包括： 参数 函数 - path 通往文件/ volumes的路径 -whitelist 要跳过的虚拟机列表（可以接受.txt文件输入） -vmkill 切换虚拟机终止开关 -vmlist 接受虚拟机名称列表（.txt文件） -detach 从屏幕/终端中分离 -log 创建日志文件 -world-id = 针对VMWare内的特定World ID 【2023年8月MONTI Locker帮助屏幕】 同样值得注意的是，MONTI Locker能够在受影响的服务器上更新MOTD文件（每日消息）。例如，这个文件（/etc/motd）控制用户登录到vCenter时看到的内容。感染后，使用MONTI Locker加密的服务器将显示配置的赎金通知。 【MONTI Locker中的MOTD和Index.html引用】 MONTI Locker的总体攻击量低于本文中的其他一些威胁，因为它们的目标往往是有针对性的。而且，就其感染活动的整体生命周期而言，他们十分擅长玩长期游戏。 Akira勒索软件 Akira勒索软件家族的Linux变体自2023年6月以来就已被观察到，但更广泛的操作可追溯到4月份。Akira勒索软件的初始传播是通过利用易受攻击的公开可用的服务和应用程序来实现的。 传统上，Akira勒索软件的有效载荷也是从Conti继承的。Linux版本的Akira勒索软件使用crypto++库来处理设备上的加密。Akira提供了一个简短的命令集，其中不包括任何在加密之前关闭虚拟机的选项。但是，它们确实允许攻击者通过-n参数对加密速度和受害者实际恢复的可能性进行一些控制。该值越大，文件被加密的内容就越多，这意味着速度越慢，受害者在没有适当解密工具的情况下恢复的可能性也越低。 Akira可用的命令行参数包括： 参数 函数 - encryption_path，-p 通往文件/文件夹的路径 -encryption_percent，-n 部分加密，设置要加密文件的百分比 -share_file，-s 加密的共享驱动器路径 –fork 生成用于加密的子进程 【Akira带有加密和路径参数的最小输出】 【Akira命令行参数】 Trigona Linux Locker Trigona是一个于2022年6月首次发现的勒索软件家族。它是一个多重勒索组织，并且拥有一个公开的博客，上面有受害者信息及其被盗数据。他们的恶意软件有效负载已在Windows和Linux上观察到。 在本文讨论的所有家族中，Trigona的原始Windows有效载荷和linux版本的勒索软件之间的发布间隔最长。虽然Trigona的Windows和Linux版本之间的差距最大，但他们丝毫不落后于其他勒索软件家族。 Trigona专注于linux的有效负载是精简且高效的，它们拥有本榜单中最强大的日志记录和测试输出选项。 Trigona的/erase选项在Windows和Linux版本上都可用。这个选项经常被忽视，但安全团队应该意识到，这个选项允许勒索软件作为各种类型的擦除器。使用Trigona有效载荷，/erase选项将完全删除文件，使其基本上不可恢复。这种行为在一定程度上可以通过组合使用/full选项来调整。如果没有后者，则只能用NULL字节覆盖给定文件的前512KB。当与/full参数结合使用时，将覆盖文件的整个内容。受此影响的文件将被赋予. _deleted扩展名，而不是通常的. _locked扩展名。 Trigona可用的命令行参数包括： 参数 函数 /full 实现完全文件加密 /sleep 设置完全执行前等待的秒数 /fast 部分加密 /erase 覆盖数据 /is_testing 设置测试/调试标志 /test_cid 强制使用特定的计算机ID（用于测试和调试） /test_vid 强制使用特定的受害者ID（用于测试和调试） /allow_system 开启系统路径加密功能 /shdwn 加密完成后强制关闭系统 /path 必选-设置要加密的目标路径 /log 指定日志存放路径 【Trigona以/path参数启动】 【Trigona的final log】 【Trigona命令行参数】 Abyss Locker Abyss Locker勒索软件操作于2023年3月出现，并积极针对VMware ESXi环境。Abyss Locker有效负载的初始交付通过各种方式进行，包括网络钓鱼电子邮件或利用易受攻击的公开可用服务和应用程序。 用于Linux的Abyss Locker有效负载源自Babuk代码库，并且以非常相似的方式运行。此外，Abyss中的加密功能是基于HelloKitty勒索软件中的加密功能。目前还不清楚Abyss Locker、HelloKitty和Vice Society之间的正式合作是如何进行的。Abyss Locker包含特定于esxcli命令行工具的调用，该工具用于管理虚拟设备。 【Abyss Locker中的VMware ESXi命令】 Abyss Locker使用esxcli命令行工具，允许多种模式的虚拟机和进程终止。 esxcli vm process list esxcli vm process kill -t=force -w=%d esxcli vm process kill -t=hard -w=%d esxcli vm process kill -t=soft -w=%d 这些命令影响目标虚拟机关闭的“优雅”程度。根据VMware的文档，最省事的选项（soft option）通常是最受欢迎的。硬选项（hard option）执行立即关闭（假设有特权），而强制选项（force option）只能作为最后的手段使用。但如果需要，Abyss将使用任何和所有这些选项。 Abyss Locker可用的命令行参数包括： 参数 函数 -m 部分加密（5-10-20-25-33-50） - v verbose -d 切换到daemon Start <path> 开始加密的路径 -v创建一个详细的“work.log”文件，显示所选择的加密模式和围绕所遇到的每个文件的加密时间的基准。 【Abyss Locker的工作日志文件】 【Abyss Locker命令选项】 就设备加密的速度而言，Abyss Locker的有效载荷是快速且有效的。随着这个群体继续调整他们的有效载荷，我们预计会看到更多的此类威胁活动。 结语 本文研究了几个突出的Linux和VMWare esxi勒索软件家族，深入研究了特定有效负载的用法和命令行语法。通过在可能的情况下突出已理解的谱系，并关注可用的参数，安全团队可以对有效载荷进行实际操作，增强对威胁的检测能力。 使用Windows有效载荷的攻击与针对其他平台的攻击之间的差异表明，勒索软件的格局在不断演变。随着威胁行为者不断重复他们的策略来逃避检测，如何保持领先于这些趋势的能力将变得至关重要。 原文链接： https://www.sentinelone.com/blog/from-conti-to-akira-decoding-the-latest-linux-esxi-ransomware-families/ ...

警方破获利用ChatGPT实施百万盗刷案件 利用“ChatGPT”“网络暴力”违法犯罪？杭州警方破获多起新型犯罪发布会上，警方通报了这起新型网络犯罪案例。今年4月，杭州市公安局网络警察分局在网上巡查发现，有企业支付账号存在异常，疑似支付密钥被非法获取。立案侦查后，通过大量的数据分析和追踪溯源工作，锁定位于泰国的犯罪嫌疑人谢某，并将其抓获。   </p>   </p> 经查，犯罪嫌疑人谢某擅长网络技术，利用系统漏洞非法获取相关服务器所属企业的支付密钥后，利用ChatGPT编写用于批量盗刷的提款程序，实施批量盗刷企业账户资金的犯罪活动，并通过虚拟币洗钱变现，给相关企业带来了巨大的经济损失。 严打网络犯罪“零容忍”严打新型犯罪强震慑网络暴力违法犯罪严重刺激群众情绪，扰乱网络空间秩序，影响社会安宁。同时，个别网络自媒体为了引流牟利，随意发布未经核实的消息，严重误导舆论，给人民群众生产生活带来干扰。浙江公安机关以打击整治“网络水军”专项行动为依托，重点打击“网络水军”舆情敲诈、造谣滋事、强迫交易等恶性网络暴力违法犯罪，全力维护人民群众人身、财产等合法权益和正常网络秩序。在打击网络谣言方面，浙江公安机关以“百日打谣”专项行动为抓手，持续加强对网络谣言的打击力度，坚持“以打开路、以打促治”，坚决遏制网络谣言高发频发态势。今年以来，共侦办网络谣言案件103起，查处造谣传谣人员131名，清理网络谣言信息5万余条，关停违法账号3326个，整理重点互联网企业、网站1987家。其中杭州、温州等地分别对多个涉及面广、影响力大的本地谣言案事件进行快速查处，及时发布辟谣报道，回应网民关切。   随着全球数字经济时代的到来，以公民个人信息为目标的案件高发。同时，以公民个人信息为核心，滋生出电信诈骗、网络水军等一系列人民群众深恶痛绝的黑灰产业。为此，浙江公安机关深入研究侵犯公民个人信息犯罪规律特点，打源头、断链条，强化发现网上买卖公民个人信息案件的研判，追踪溯源、拓展打击。今年以来，侦办侵犯公民个人信息案件375起，刑事拘留306名。其中温州瓯海破获一起通过小众软件贩卖公民个人信息数据的案件，抓获犯罪嫌疑人11名。近年来，电信网络诈骗、网络**屏蔽敏感词**、网络淫秽等高发犯罪案件作案方式快速迭代更新，由此产生了为此类犯罪提供吸粉引流、技术支撑、资金结算等黑灰产业链。为此，浙江公安机关紧盯黑灰产业链，由点及链，追踪源头，深化网络犯罪生态打击治理。绍兴嵊州打掉一个为电诈团伙提供虚拟币洗钱服务的帮信团伙，抓获犯罪嫌疑人32名，涉案金额2000余万元。 思科VPN被勒索组织盯上，持续遭网络攻击   最近，有越来越多的证据表明Akira勒索软件以思科VPN产品为攻击目标，入侵企业网络、窃取并最终加密数据。 Akira勒索软件是2023年3月推出勒索软件，该组织后来增加了一个Linux加密器，以VMware ESXi虚拟机为目标。 思科 VPN 解决方案被许多行业广泛采用，在用户和企业网络之间提供安全、加密的数据传输，通常供远程工作的员工使用。 据报道，Akira经常利用被攻破的思科 VPN 账户入侵企业网络，而不需要投放额外的后门或设置可能泄露的持久性机制。 Akira 的目标是思科 VPN Sophos 在 5 月份首次注意到 Akira 滥用 VPN 账户的情况，当时研究人员指出，勒索软件团伙使用 "单因素身份验证的 VPN 访问 "入侵了一个网络。 一个名为 "Aura "的事件响应者在 Twitter 上分享了关于入侵活动的更多信息，介绍了他们是如何应对多个 Akira 事件的，这些事件都是使用未受多因素身份验证保护的思科 VPN 账户实施的。 在与 BleepingComputer 的对话中，Aura 表示，由于思科 ASA 缺乏日志记录，所以并尚不清楚 Akira 是通过暴力破解获得 VPN 帐户凭据，还是在暗网市场上购买的。SentinelOne WatchTower 与 BleepingComputer 私下共享的一份报告也聚焦于相同的攻击方法，报告指出 Akira 可能利用了思科 VPN 软件中的一个未知漏洞，在没有 MFA 的情况下绕过了身份验证。SentinelOne 在该团伙勒索页面上发布的泄露数据中发现了 Akira 使用思科 VPN 网关的证据，并在至少 8 个案例中观察到了思科 VPN 相关特征，表明这是勒索软件团伙持续攻击策略的一部分。在八起 "Akira "攻击中发现思科VPN特征  图源：SentinelOne SentinelOne远程访问 RustDesk 此外，SentinelOne WatchTower 的分析师还观察到 Akira 使用 RustDesk 开源远程访问工具来浏览被入侵的网络，这是已知的第一个滥用该软件的勒索软件组织。由于 RustDesk 是一个合法工具，不会引起任何警报，因此它可以隐蔽地远程访问被入侵的计算机。使用 RustDesk 带来的好处包括： 可在 Windows、macOS 和 Linux 上跨平台运行，覆盖 Akira 的全部目标范围 P2P 连接经过加密，因此不太可能被网络流量监控工具标记 支持文件传输，有助于数据外渗，从而简化了 Akira 的工具包 SentinelOne 在 Akira 的最新攻击中观察到的其他 TTP 包括 SQL 数据库访问和操作、禁用防火墙和 启用 RDP、禁用 LSA 保护和禁用 Windows Defender 2023 年 6 月底，Avast 发布了针对 Akira 勒索软件的免费解密程序。但从那之后威胁者已经给加密程序打了补丁，Avast 的工具只能帮助那些旧版本的受害者。...

法国Pole Emploi公司披露的数据泄露事件有了更多进展。据专家称，此次攻击的提供商受害者（Majorel）的名称和数据实际上已被泄露并在暗网上出售。 几名网络专家周五向法新社证实，由一家名为Pôle Emploi公司提供的有关约一千万求职者的个人数据已经泄露并正在暗网上被非法出售。用于文件共享的MOVEit传输应用程序中的安全漏洞被认为是造成此次盗窃的原因。 Pôle emploi于8月23日在一份新闻稿中呼吁求职者保持警惕，此前该公司的一家服务提供商Majorel成为了“网络恶意行为”的受害者。 涉事“服务提供商”现已被点名 本周末，该服务提供商的名字被确定为：Majorel公司。该公司是数据管理、客户管理和呼叫中心方面的专家，由Arvato（贝塔斯曼集团）与摩洛哥Saham公司于2019年合并而成。在法国，该公司与EEDF、住房部、Orange等机构合作。 Majorel在2021年实现了17亿营业额，被认为是该领域严谨且有品质的企业。但它也被BPO和外包客户体验领域的全球领导者Teleperformance收购（以 30 亿欧元）。 “Pôle Emplo数据在暗网上出售已被证实。一个专门出售自己黑进或买进的数据库的知名黑客于8月8日出售了一个2022年的Pôle emploi数据库，该数据库有1020万用户，他以900 美元的价格出售。” Zataz.com网站的Damien Bancal告诉法新社。 网络安全专家Clément Domingo（X（以前称为 Twitter）上的化名 @SaxX）也报告称，该数据在暗网黑客论坛上以900美元的价格出售。据Domingo先生称，该文件包含1020 万个名字，最初是在这个网络犯罪论坛上传播的。8月8日，我们发现最初的数据库，后来又更新了很多信息。 巴黎检察院已介入调查 巴黎检察官办公室的网络犯罪部门已经开始调查以欺诈手段进入并维护自动数据处理系统中的数据。 Pôle Emploi公司在其最初的新闻稿中表示，此次数据泄露涉及“2022年2月注册的人员和停止注册的人员，即注册时间少于 12 个月的人员，即可能有1000万人”。 电话号码和邮箱地址也被黑客窃取？ 该公共机构警告称，不要将“求职者的名字和姓氏、当前或以前的求职状态、社会安全号码“放在网上，但不包括邮箱地址、电话号码、密码和银行详细信息。 “泄露的数据量比Pôle Emploi在8月23日最初的新闻稿中所说的要多得多”，Domingo先生强调了电话号码或邮箱地址的分布情况。 SNCF、施耐德电气、Synlab、Les Hospices Civils de Lyon和Cegedim也被攻击 据德国专业研究机构KonBriefing Research称，这不仅影响到Majorel导致1000万求职者的个人数据被盗，法国5家大型企业也受到关注，全球共有1006家。Cegedim、Les Hospices Civils de Lyon（里昂临终关怀医院）、施耐德电气、SNCF和Synlab（医学分析实验室）均受到影响。 MOVEit的漏洞被Clop勒索软件团伙大肆使用 MOVEit Transfer是一款软件，也是一款专门的应用程序，从逻辑上讲，它允许以安全的方式传输和共享文件。它由Progress Software销售。但MOVEit存在严重漏洞，允许黑客窃取通过MOVEit传输和交换的文件。该案件被认为足够严重，由联邦调查局（FBI）和美国网络安全局（CISA：网络安全和基础设施安全局）进行调查，由Jen Easterly领导。该漏洞被俄罗斯勒索软件团伙Clop大规模利用。...

近日，Tor项目发布Tor 0.4.8版本，正式推出了针对洋葱服务的工作量防御机制Proof-of-Work Defense，旨在优先处理经过验证的网络流量，以阻止拒绝服务（DoS）攻击。 Tor的工作量证明（PoW）防御机制是一种动态的反应机制，在正常使用条件下保持休眠状态。但当洋葱服务受到DoS攻击的压力时，该机制会提示传入的客户端连接执行一系列连续的更复杂操作。然后，洋葱服务将根据客户端表现出的工作量水平对这些连接进行优先级排序。 此举旨在将DoS攻击的成本增加到难以维持的水平，同时优先考虑合法流量，抑制攻击流量。引入工作量证明机制将使大规模攻击成本高昂且不切实际，从而抑制攻击者。因此Tor项目鼓励用户将洋葱服务升级到0.4.8版本。 如果攻击者向onion服务发送大量连接请求，PoW防御会启动增加访问.onion网站所需的计算量。增加的计算量对绝大部分设备是可控的，所耗费时间从5毫秒到30毫秒。攻击流量增加，工作量就会增加，最多需要1分钟的工作量。整个过程对用户是不可见的。 为什么需要更新？ 洋葱服务通过混淆IP地址来优先考虑用户隐私，这种固有设计使其容易受到DoS攻击，而传统的基于IP的速率限制在这些情况下并不能起到很好的保护作用。为了找到替代解决方案，Tor项目设计了一种涉及客户端难题的工作量证明机制，以在不损害用户隐私的情况下阻止DoS攻击。 它是如何工作的？ 工作量证明就像一个票据系统，默认情况下关闭，但通过创建一个优先级队列来适应网络压力。在访问洋葱服务之前，必须解决一个小难题，证明客户端已经完成了一些“工作”。谜题越难，证明用户所做的工作越多，从而证明用户是真实的，而不是试图充斥洋葱服务的僵尸。最终，工作量证明机制阻止了攻击者，同时为真实用户提供了到达目的地的机会。 这对于攻击者和用户意味着什么？ 如果攻击者试图向洋葱服务发送大量请求，并淹没洋葱服务，PoW防御就会启动，并增加访问.onion站点所需的计算量。这种票据系统旨在使大量尝试连接洋葱服务的攻击者处于不利地位。维持此类攻击将需要大量的计算工作，而随着计算力的增加，回报也会越来越少。 然而，对于倾向于一次只提交几个请求的日常用户来说，解决难题所增加的计算量对于大多数设备来说是可以承受的，对于速度较快与稍慢的计算机来说，每次解决的初始时间范围从5毫秒到30毫秒不等。如果攻击流量增加，工作量就会增加，最多大约需要1分钟的工作量。虽然这个过程对用户来说是不可见的，并且使得等待工作量证明解决方案与等待慢速网络连接相当，但它具有明显的优势，那就是通过证明自己的非机器属性，即使在Tor网络面临压力的情况下，也能为用户提供访问Tor网络的机会。 在过去的一年里，Tor项目投入了大量的工作来减轻对Tor网络的攻击并增强对洋葱服务的防御。Tor的PoW防御的引入不仅使洋葱服务成为少数具有内置DoS保护的通信协议之一，而且一旦被各大网站采用，还将有望降低定向攻击对网络速度的负面影响。该系统的动态特性有助于在流量突然激增时平衡负载，确保对洋葱服务的访问更加稳定可靠。...

美国多个联邦机构近日向该国航天工业发出警告，要求警惕外国警报机构的间谍活动。 美国国家情报总监办公室下属的国家反情报与安全中心（NCSC）称，全球太空经济投入将从 2021 年的 4690 亿美元增长到 2030 年的超过 1 万亿美元，而美国是这一增长的主要驱动力，并且对能源、金融、电信、交通、农业等多行业起到重要作用。NCSC认为外国情报机构已经认识到商业航天工业对美国经济和国家安全的重要性，包括关键基础设施对其产生的依赖性。 NCSC例举了针对美国航天工业进行间谍活动的可能形式，包括利用网络攻击、空壳公司或老式间谍手段收集有关美国太空能力或创新技术的敏感信息，也可能使用卫星干扰或黑客攻击等反空间系统来破坏或削弱美国卫星系统。 2021 年，NASA 成为SolarWinds 漏洞攻击的九个目标机构之一，这次大规模网络攻击被机构领导层称为“警钟”，旨在保护其赖以存储和传播敏感技术数据的网络安全。 在2022年爆发的俄乌战争中，被指与俄罗斯政府有联系的黑客对美国通信公司Viasat、SpaceX 星链系统进行了网络攻击。马斯克于2022年3月在推特上表示，攻击使冲突地区附近的一些星链终端曾一度堵塞数小时。 而在今年举行的美国黑帽技术大会（Black Hat USA）上，安全研究专家的一项研究议题也表示，黑客想要针对卫星进行攻击也非难事。根据对17 种不同卫星型号的 19 名工程师和开发人员的调查，有3名工程师承认他们没有采取任何措施来防止第三方入侵，有9名工程师虽然表示采取了防御措施，但其中只有5名实施了任何类型的访问控制。 参考来源：US Space Industry More Prone to Foreign Espionage, US Agencies Warn ...

网络安全风险管理是指识别、评估企业网络信息系统中的缺陷和风险隐患，并采取相应的安全控制以防止网络威胁，这是一个持续的过程，会随着威胁的发展而不断优化调整。网络安全风险管理和网络安全防护是两个密切相关但不可互换的概念，网络安全防护侧重于应对攻击和响应正在发生的安全事件，而网络安全风险管理则强调从更全面的视角去评估企业的安全状况和面临的威胁态势，要从对组织运营、商誉、财务和合规等多个方面整体应对各种可能发生的网络威胁。 因此，当企业组织开展网络安全风险管理时没有捷径可走，安全团队需要全面考虑各个方面的风险因素。本文梳理了可以有效落地网络安全风险管理流程的10个关键要素，将帮助企业更好开展相关工作。 1、从业务发展的角度识别风险 企业的安全团队应该准确理解，开展网络安全风险管理是为了更好地实现业务发展目标，因此网络安全风险管理的基础要求是要从业务发展的角度识别风险，了解当前网络安全风险的业务环境。从业务发展视角识别现有的安全风险和潜在的安全威胁至关重要，这将决定后续的风险管理工作中需要做多少，以及需要保护的重点是什么。   </p> 2、网络安全风险评估   </p> 网络安全风险评估是指企业根据其关键业务发展目标，量化不同网络风险的潜在影响以及发生的可能性。通过风险评估，企业管理者和安全团队可以更加合理地分配防护资源，聚焦于关键性风险，以最具性价比的方式将风险控制在企业可以接受的范围内。网络安全风险评估可以借助FAIR等风险量化模型来实现，主要步骤包括风险范围界定、风险识别、风险分析、风险评估和记录报告等。   </p> 3、定义组织的风险承受能力   </p> 除了网络安全风险评估，安全团队还必须确定组织的网络安全风险承受能力。当不影响业务发展的时候，企业组织可以接受和承担一定程度的网络安全风险。如果经过量化评估的网络安全风险在可承受的范围内，企业的管理者就可以在一定时期内接受该风险，而将注意力和防护资源投入到更需要重视的高优先级风险中。需要强调的是，企业在定义网络安全风险承受能力的时候，应该与组织的整体业务发展目标保持一致。   </p> 4、制定风险化解策略   </p> 有许多途径、方法和工具可用于帮助企业管理和缓解网络安全风险，但没有一种策略能够适合所有企业，也没有一种安全工具可以解决所有的问题。企业应该根据已识别风险的关键特征，制定适合自己的风险化解策略，这些策略可能包括实施技术控制措施、流程改进和安全培训计划等。同时，安全团队应该利用先进的安全技术工具，向企业管理层表明降低风险的必要性和价值，并确定风险缓解措施的优先级。   </p> 5、制定事件响应计划   </p> 没有绝对的安全，因此企业不能在网络安全事件发生时才被动响应，而是要提前制定安全事件响应的策略和计划，尽量减少攻击事件造成的影响。在此计划中，组织应该明确界定事件响应团队成员的角色和职责，并定期进行演练和演习，测试计划的有效性，并对过程中所发现的不足进行完善。   </p> 6. 模拟测试和演练   </p> 实战化背景下的模拟测试可以更快速了解企业在网络防御方面的不足，同时梳理企业的IT资产、寻找漏洞和攻击路径，以便更好地修复或应对风险。此外，定期开展测试演练，作用不仅仅在于发现安全问题，对系统开发人员深入了解计算机系统也会大有帮助。通过了解为企业效力的“坏人”的想法，有助于防止一些灾难性的网络安全事件发生，降低企业业务发展风险。   </p> 7. 持续风险监控   </p> 网络安全风险管理是一个整体性工作，也是一个持续的流程。实现持续地网络安全风险监控对于发现新的威胁和漏洞至关重要。企业应该积极利用自动化技术，将其量化预警信息或风险暴露状况统一整合起来，提升企业预测潜在风险的能力。实现控制环境与未知风险之间的协同，是开展网络安全风险管理的核心关注点之一。   </p> 8. 员工安全意识培养   </p> 尽管存在种种技术漏洞，但人依然是网络安全中最薄弱的环节。企业可以限制用户对某些系统和数据的访问，却难以阻止员工可能会犯的每个人为性错误。因此，持续的员工网络安全意识培训是减小数字攻击面最重要的安全控制之一。现代企业中的每一位员工都应该定期接受网络安全意识培训，以识别网络钓鱼等攻击企图，了解哪些数据很敏感，了解潜在的风险和漏洞，并了解如何遵循确保敏感数据安全的最佳实践。尽管人为性错误难以避免，但能通过适当的教育和培训，可以大大降低导致数据泄露危害发生的可能性。   </p> 9. 供应商和第三方风险管理   </p> 随着软件供应链攻击的不断加剧，企业网络安全风险管理不仅需要包括组织内部的管理，还需要定期评估第三方供应商和合作伙伴的安全风险。因为，今天的企业组织大量依赖于第三方生态来共同构建产品，并完成对用户的服务交付，创建一个有效的TPRM计划对于组织评估潜在的安全风险，管理不断增长的数字攻击面至关重要。   </p> 10. 面对管理层的汇报与沟通   </p> 网络安全风险管理已经成为企业数字化发展中的核心职能，董事会和管理层对这项工作的关注和审查力度也大大增加。高层领导想知道威胁发生的情况、投入资金的方向以及如何继续改进和发展。因此，安全领导者需要能够清楚地阐述与业务目标紧密相关的网络安全风险管理计划，避免使用技术术语。此外，要让所有利益相关者都可以及时了解组织在网络安全方面的计划和变动，安全领导者应该基于最新的风险信息编制完整的风险管理态势报告。  ...

最新微信解封合集 ...

日本核污水今日入海，这帮黑客怒了！ 自2011年东日本大地震以来，日本谋划已久的福岛核电站核污水排海计划已于8月24日下午起正式施行，预计排污周期长达30年，整个海洋及其生物都有可能遭受不可逆的毁灭性打击。据现场媒体报道，经过17分钟的流淌，核污染水经由1公里的海底隧道流进太平洋。据现场媒体报道，福岛附近海面已呈现出两种颜色。 2023 年 8 月 24 日上午，在福岛县浪江市拍摄的受损的福岛第一核电站（共同社）目前福岛第一核电站储存的核污染水约有134万吨，日本计划今年排放31200吨，分4次排放，每次约排放7800吨，整个排海工作预计持续30年，将影响整个太平洋乃至全球海域。我国对于这一行为表示坚决反对和强烈谴责。根据海关总署8月24日消息，为全面防范日本福岛核污水排海对食品安全造成的放射性污染风险，保护中国消费者健康，确保进口食品安全，海关总署决定自2023年8月24日（含）起全面暂停进口原产地为日本的水产品（含食用水生动物）。事实上，往大海排放核污水方案早在公布之初就遭到日本国内渔民和国际多个国家、科学与环保组织的反对，但日本政府仍然于8月24日执意排海。而在诸多的反对声音中，还出现了黑客组织的身影。近期，著名黑客组织Anonymous就对日本核电相关的组织发起了网络攻击，以抗议政府将福岛核电站处理后的放射性核废水排入大海。根据《日本时报》的消息，自7月国际原子能机构认定日本的这项排海计划符合安全标准后，Anonymous 就一直在加强针对日本核电部门的攻击，日本原子能研究开发机构、日本原子能发电公司、日本原子能学会均成为攻击对象。据日本原子能研发机构称，其网站遭受了超日常流量百倍的DDoS攻击，但通过采取措施并未造成无法浏览等影响。 据 NTT Security 报道，在日本政府于 2021 年正式决定向海洋排放受损核电站产生的废水后，Anonymous 就发布了一份攻击“目标清单”，将日本相关组织列入其中。除了上述的三个核电相关组织外，东京电力公司、经济产业省和自民党也榜上有名。 Anonymous有成员向媒体表示，日本政府排放经过处理的核废水政策缺乏透明度，公众没能参与其决策，必须制止为了经济利益而将海洋变成垃圾场的愚蠢行为。 这已不是Anonymous今年第一次向日本政府的行为表达不满，今年5月，Anonymous涉嫌攻击了日本司法部，以抗议日本政府的移民政府，导致其网站相关服务陆续中断了两次。有Anonymous成员还在推特上警告日本政府，要求他们保护难民而不是驱逐。 国际性黑客组织Anonymous Anonymous是一个庞大且松散的国际性黑客组织，其成员遍布在世界上的多个国家。原先是全球最大的黑客组织，也是全球最大的政治性黑客组织，主要分部于美国，其次为欧洲各国、非洲、南美洲、亚洲等地，对于一些政府颇具争议的政策和举措，各地成员时常以组织网络攻击的形式表达抗议。 针对伊朗发起OpIran运动   2022年9月，Anonymous宣布发起针对伊朗的OpIran运动，攻击了包括伊朗政府、情报机构和警方在内的网站。而事件起因则是一位名叫马哈萨·阿米尼的女性因佩戴头巾过于宽松而被伊朗道德警察逮捕，仅在3天后，阿米尼在重症监护室死亡。伊朗当局称她是在警察局因心脏衰竭自然死亡。但根据就医报告，伊朗人民认为阿米尼系被殴打致死，于是德黑兰街头爆发了大规模民众抗议，并在社交网络持续发酵。 为了控制舆情，伊朗方面关闭了部分国内的移动网络服务。随即，Anonymous在推特上宣称，“亲爱的伊朗，你屏蔽网络，我们就让你关门”。9月21日，匿名者攻击了伊朗法庭研究中心、伊朗议会和警方网站，并将窃取的数据泄露到网上；还将伊朗官方媒体法尔斯通讯社攻击下线。该组织呼吁对伊朗网站发起DDoS攻击，并窃取数据进行泄露，同时还倡导伊朗人使用Tor浏览器绕过国家审查。   在俄乌战争中攻击俄罗斯 在2022年2月24日俄乌战争爆发后不久，Anonymous就在twitter上正式对俄罗斯“宣战”，仅在几天之内就攻下300多家俄政府网站、国家媒体和银行网站，包括克里姆林宫、俄联邦委员会、俄罗斯杜马、俄罗斯外交部、红星电视台以及俄罗斯安全委员会等政府网站均遭到了网络攻击无法打开。 而在随后的3月，Anonymous又先后攻击了俄罗斯紧急情况部、俄罗斯国家核能公司、俄罗斯央行等机构网站，从中窃取了大量数据，并在暗网、推特等渠道进行泄露。可见，Anonymous主要是出于政治立场而非经济动机对俄罗斯发动密集的网络攻击。   黑客也有自己的态度   很明显，此次日本向大海排放核污水再次刺激到了这群黑客的神经，于是一场针对性的网络攻击就此产生。由此也表明日本这一行为是多么地令人感到震惊，核污水中的放射性物质会对环境造成极大的破坏。这些物质会通过水循环进入生态系统，影响生物的生存和繁衍。 期待更多人表达自己的态度，抵制日本向大海排放核污水。   新型骗局盯上了奶茶！已有人上当，聊天记录曝光； “老板，我校急需要一大批XXX” 如果你是商户老板 突然接到这样的大额订单 你会不会心动？   日前，重庆一奶茶店店主小刘遭新型“订单诈骗”，被骗3万元。   一男子自称要订购矿泉水、自热米饭和120杯奶茶。由于店内没有自热米饭，小刘又不想错失“大单”，便联系了其推荐“中间人”，并据此联系到一名所谓“厂家销售人员”拿货。在垫付3万元货款后，小刘被拉黑……目前，涉案账户已被民警成功止付、冻结，案件正在进一步侦办当中。而类似骗局不止一次 很多人都遇上过，近期也有不少人上当 近日四川省绵阳市三台县一奶茶店老板王女士接到一个陌生来电对方自称是“武警部队后勤采购部黄干事”想订购300杯奶茶 面对这样的“大生意”王女士心动不已加上她本身对军人非常尊敬毫不犹豫便“接单”了添加好友后，“黄干事”表示需要订购300杯奶茶6月14日他们到三台县开会时派人到店取货 随后“黄干事”发来一份“采购清单”“水果奶茶150杯，珍珠奶茶150杯”署名为“中国人民武装警察部队后勤采购部” 王女士看见采购单上盖了“中国人民武装警察部队后勤专用章”更是深信不疑立即按照要求列了一个报价单“黄干事”看后表示他将“给领导审核”后再联系她6月13日“黄干事”给王女士打来电话表示“领导审核通过了”但他们还需要采购30件矿泉水以及60件罐头为了便于一次性取货希望王女士能帮忙“代购” 这种指定的红烧牛肉罐头不好买但“黄干事”很是“热情”给王女士提供了“供应商王经理”的联系方式 王女士与“王经理”进行了联系“王经理”表示货源充足当天下午就可以送货保证买家6月14日能取到货不过“王经理”声称这种罐头要600元一件由于采购量大他没有这么多钱购货需要先付钱再送货 王女士担心给了钱对方不发货便让“王经理”提供地址准备请其当地朋友当面付款取货“王经理”见王女士不好糊弄，又谎称“我们分仓只是负责运输调配货不销售产品都是厂家统一安排分仓备货配送”王女士见“王经理”说话前后矛盾便怀疑自己遭到了诈骗于是立即停止与其联系上网查询相关信息果然查到了类似的骗局 后来王女士将一个警示视频发给“王经理”没想到被“王经理”拉黑了......王女士便立即报警大额盒饭订单背后隐藏着电诈骗局 重要提示 采购物资会进行严格的审查，绝不可能通过电话、短信通知或要求代购。 遇到此类大单时，首先要核实对方身份，也要核实供应商的身份，看是否正规；对于要先付“订金”“货款”等要求，要仔细甄别，若发现异常，请立即终止交易。 切勿贪图小便宜，切勿随意汇款转账至陌生账户，一旦发现被骗，请立刻报警。  ...

在体制内工作相对在企业工作，更稳定、更有保障，确实是不错的选择，但也有很多不好的地方，且不是所有人都能考进体制内，不是所有人都适合体制内。 就在短短十多年前，那时候大学生稀缺、经济也高速增长，社会上有很多高收入福利好又体面有稳定的工作机会。考公考编确实算不上985 211本科生研究生的最佳选择，只能算退路，原来才有“实在不行就去考公考编吧”的说法。 然而，现在不一样了，受过高等教育的人激增，且大家在教育上投入的时间和经济成本很高，对就业的预期也很高。 但是，就业市场中的优质工作机会却没有如高校毕业生增长的速度一样激增，高等教育的人才供大于求，而好点的就业岗位都已经饱和了，那些收入高稳定福利好的，体面地位高的工作，往往就像HIV一样只通过那几种途径传播。 另外，这几年由于国内国外大环境影响，类似于互联网、传统制造业等行业都开始从红利期退出，企业规模和利润下降，能吸纳的自然就业人数下降，能提供的薪资福利待遇也相应下降，特别是中小企业创业经营很困难，在中小企业工作，更没有保障，收入和福利不一定好，薪资福利保障不完善，工作压力还大，竞争内卷严重，工作收入不稳定、很容易被优化毕业。 所以，相比之下，如果能进入体制内、国企和大厂，虽然也有各种各样的问题，但福利、薪资、稳定性等是相对中小企业更有保障的，如今考公考编可能当代普通家庭的大学生们最好的出路之一了，所以大家才拼命去卷去挤。 在这样的情况下，大量985 211、甚至顶级名校海归硕博和清北复交名校硕博，都开始蜂拥去卷考公考编了，一些很差很偏远的岗位都有人抢，真的卷的不行，不是谁想考上就能考上的了。 假如考公考编进国企上岸了，那肯定是值得庆祝的，毕竟未来有了一些保障，变得稳定一些了;但没有考上的朋友，也不必过于焦虑，条条大路通罗马，总有一条道路属于自己。 体制内虽然有其优点，但各种不好的地方也是存在的，不是所有人都适合考公考编，不是所有人都考得上，也不是所有人都适合体制内，一定要结合自己的实际情况考虑之后再做决定，关键要看自己合不合适，不然可能会非常痛苦，白白浪费自己的宝贵青春。 如果要考公考编的话，刚毕业、还年轻或家里有条件，可以选择脱产全职备考，但不要超过一年，不然那种脱产不工作考好几年的情况，容易对自己的职业生涯会有很大影响，最好在职考。 如果考了好几年、很多次都没考上，就说明你真的不适合吃这碗饭，赶紧转换方向转换赛道，不要一条路走到黑，切莫浪费自己的宝贵青春年华，让沉没成本和机会成本越来越高。 @耿向顺的微博...

前言 在网络攻防演练实战中，权限提升技战法扮演着关键的角色。权限提升是攻击者在系统或网络中升级自身权限的关键技术，承接了攻击者获取初始访问权限的努力，并为之后的攻击行动铺平道路。高权限使攻击者能够突破初始的访问限制，进而实现更深入、更具破坏性的攻击。 在演练中，蓝军（攻击方）可能会利用各种技术手段进行权限提升攻击，突破初始的限制，进一步渗透目标网络，获取更敏感的信息、控制更多的系统资源，或者对目标进行更深入的操纵和破坏。红军（防守方）面临着蓝军利用各种技术手段试图提升权限的挑战。 攻防演练中本地权限提升攻击的“五大危害”： 系统安全降级：通过权限提升手段，攻击者可以将受害者的权限从普通用户提升为管理员，这会导致系统的安全性大幅降低。一旦攻击者获得管理员权限，他们可以安装恶意软件、修改系统设置、删除重要文件，甚至完全控制受害者的计算机。 恶意软件安装：许多恶意软件需要管理员权限才能成功感染系统，因此它们借助各类权限提升手段欺骗用户，使其在不知情的情况下安装恶意软件。这可能包括间谍软件、勒索软件、广告软件和其他类型的恶意程序。 敏感数据泄露：绕过安全限制，访问用户的敏感数据。这些数据可能包括个人身份信息、登录凭据、金融信息等。一旦数据泄露，用户可能会面临身份盗用和其他严重后果。 系统文件篡改：修改系统文件、注册表项和配置设置，导致系统不稳定或无法正常运行。这可能导致系统崩溃、蓝屏等问题，严重影响用户的正常使用。 后门隐匿安装：可以被恶意软件利用来安装后门程序，为攻击者提供长期访问和控制的机会。这使得攻击者可以持续监视和操纵受害者的计算机，而不被察觉。 为了应对攻防演练实战的考验，防守方需要理解和掌握权限提升技战法，搭配相关产品与相应的防御措施，以有效保护关键靶标免受攻击。本文总结了攻防演练中高频使用的权限提升方式及应对之策，帮助防守方增加对攻击者行为的了解，更好地应对和防范权限提升攻击。 攻防演练高频本地权限提升高频技战法 在攻防演练的后渗透阶段中，用于实现权限提升的方案里使用频率最高的有漏洞利用、UAC Bypass、Potato等： 1.本地权限提升类漏洞 在获取目标初始访问权限后，通过权限提升漏洞扩大攻击能力，或将权限提升漏洞直接附加在木马武器中进行投递。在Windows操作系统中，出现漏洞的组件既有Win32k、Print Spooler这种漏洞“重灾区”，也有近两年频繁出现漏洞的内核组件CLFS通用日志文件系统。Windows作为最为常见的PC操作系统，其上的高可利用提权漏洞带来的危害不言而喻，而Linux在生产环境、服务器等场景下也占有不少的应用，一旦遭受漏洞攻击，会给用户的生产生活带来严重的损失。 在Windows操作系统中，打印机服务（Print Spooler）漏洞应用范围广，稳定性强，同时具有强危害性，例如名为PrintNightmare的CVE-2021-1675/CVE-2021-34527漏洞，在域环境中合适的条件下，无需任何用户交互，未经身份验证的远程攻击者就可以利用该漏洞以SYSTEM权限在域控制器上执行任意代码。此外，近期爆出的在野利用漏洞同样值得关注，例如Windows CLFS权限提升漏洞CVE-2023-28252，由于其很高的可利用性，可能会被攻击者继续利用。 在Linux操作系统方面，CVE-2021-3156 sudo提权漏洞从被公开便被认为是一个非常严重的漏洞，它影响了Linux和Unix系统上的sudo命令，允许未经授权的用户在系统上获得root权限。 2.UAC Bypass用户端权限提升方案 Microsoft的Windows Vista和Windows Server2008操作系统引入了一种良好的用户帐户控制架构，它是Windows的一个安全功能，防止对操作系统进行未经授权的修改。UAC要求用户在执行可能影响计算机运行的操作或在进行可能影响其他用户的设置之前，拥有相应的权限或者管理员密码。UAC在操作启动前对用户身份进行验证，以避免恶意软件和间谍软件在未经许可的情况下在计算机上进行安装操作或者对计算机设置进行更改。如果管理员不允许更改，则更改不会执行。 Uac Bypass是指攻击者绕过UAC机制的弹窗通知，在不提示用户的情况下达到执行高权限操作的攻击技法。当程序出现提升权限的请求时，AIS服务将校验其是否满足权限提升的条件。满足一定条件的程序将不需要弹出UAC对话框自动提升为管理员。例如，使用Rundll32加载特制的DLL，该DLL加载自动提升的组件对象模型对象，并在通常需要提升访问权限的受保护目录中执行文件操作。恶意软件也可能被注入到受信任的进程中，以获得提升的权限，而无需提示用户。 常见的UAC Bypass方式有劫持特定的注册表项、绕过AIS对可信目录的检查逻辑、滥用Windows AutoElevate等，UACME开源项目中列举的很多已知的UAC Bypass方案，说明UAC仍存在较大的暴露面，需要在演练前进行针对性的封锁。 3.Potato服务端权限提升方案 服务账户身份在Windows权限模型中本身就具有很高的权限，部分服务进程具备可模拟客户端的SelmpersonatePrivilege进程权限。Potato提权的原理基于Windows操作系统中的一个可滥用的安全机制，该机制存在于Windows的管道（pipe）服务中。通过特殊方式构造SYSTEM身份向恶意服务端的连接，即可借助特殊权限模拟SYSTEM进程身份，实现Potato提权。 Potato相关技术在武器化实战过程中一直演进、成熟。在演练中，一旦从外部突破到服务器，攻击者往往选择利用Potato攻击技术从服务账户提升到SYSTEM权限，进行后续权限维持等攻击操作，造成严重后果。且在服务器场景下可能存在部分防御薄弱、账户权限较高的特殊性，Potato提权方式在演练中一直有比较亮眼的发挥。 综上，在攻防演练前，防守方有必要对己方资产中相关漏洞、防护缺口进行排查，提高演练过程中对相关行为的检测能力，避免防守失分。一旦高权限被攻击者获取，攻击者能够展开更深层次的渗透攻击。 企业用户如何应对本地权限提升威胁 除了及时更新系统、实施最小权原则以外，需要对已知的本地提权漏洞、UAC Bypass方案以及Potato提权方式进行及时的研究与封锁。更进一步，在防护端对权限提升本身进程权限发生变化的行为进行监控，实现对权限提升类行为的防控。绿盟一体化终端安全管理系统（UES）已集成对进程权限异常变化的检测，提供权限提升威胁发现与告警能力，保障终端安全。 ...

文章目录 1. 什么是OOP或面向对象编程？ 1.1. 类和对象 1.2. 构造函数 2. OOP 的 4 个特性 2.1. 抽象 2.1.1. 数据抽象 2.1.2. 控制抽象 2.2. 封装 2.2.1. 信息隐藏 2.2.2. 实施隐藏 2.3. 继承 2.3.1. 继承示例 2.3.2. 继承的类型 2.4. 多态性 2.4.1. 编译时多态性 2.4.2. 运行时多态性 3.更多面向对象编程概念 3.1. 耦合度 3.2. 内聚度 3.3. 关联 3.4. 聚合 3.5. 组合 4.最佳实践 4.1. 优先考虑组合而不是继承 4.2. 面向接口编程，而不是具体实现 4.3. DRY（不要重复自己） 4.4. 封装变化 4.5. 单一职责原则 4.6. 开闭原则 5. 总结 面向对象编程（OOP）是指基于对象的编程方法，而不是像函数式编程那样仅基于函数和过程。这些对象可以包含数据（属性）和方法（行为），就像我们在应用程序中建模的现实生活实体一样。 本教程将教我们四个主要特性——抽象、封装、继承和多态性。这些也被称为面向对象编程范式的四大特性。 1. 什么是OOP或面向对象编程？ 早期，人们用二进制代码编写程序，并使用机械开关来加载程序。后来，随着硬件功能的发展，专家尝试使用高级语言来简化编程，我们使用编译器从程序生成机器指令。 随着更多的发展，专家们创建了基于小函数的结构化编程。这些函数在很多方面都有帮助，例如代码重用、局部变量、代码调试和代码可维护性。 随着计算的进步和对更复杂应用程序的需求，结构化编程的局限性开始显现出来。复杂的应用程序需要与现实世界和用例更紧密地建模。 后来，专家们开发了面向对象编程。在 OOP 的中心，我们有对象和类。就像现实生活中的实体一样，对象具有两个重要特征： 数据– 讲述属性和对象的状态 行为– 赋予其改变自身并与其他对象进行通信的能力 1.1. 类和对象 对象是类的实例。每个对象都有自己的状态、行为和身份。类是其对象的蓝图或模板。 对象可以通过调用函数与其他对象进行通信。它有时被称为消息传递。 例如，如果我们正在开发人力资源应用程序，那么它由实体/参与者组成，例如员工、经理、部门、工资单、假期、目标、时间跟踪等。为了在计算机程序中对这些实体进行建模，我们可以创建具有类似属性的类现实生活中的数据属性和行为。 例如，员工实体可以表示为Employee类： public class Employee { private long id; private String title; private String firstName; private String middleName; private String lastName; private Date dateOfBirth; private Address mailingAddress; private Address permanentAddress; // 根据应用程序的要求，可以添加更多类似的属性、getter和setter方法。 }   以上Employee作为模板。我们可以使用此类在应用程序中创建所需数量的不同员工对象。 Employee e = new Employee(111); e.setFirstName("Alex"); .. .. int age = e.getAge();   该id字段有助于存储和检索任何单个员工的详细信息。 对象标识通常由应用程序运行时环境维护，例如，用于Java应用程序的Java虚拟机(JVM)。每次我们创建一个 Java 对象时，JVM 都会为该对象创建一个哈希码并分配它。这样，即使程序员忘记添加id字段，JVM 也能确保所有对象都是唯一标识的。 1.2. 构造函数 构造函数是没有任何返回值的特殊方法。它们的名称始终与类的名称相同，但它们可以接受参数，这些参数有助于在应用程序开始使用对象之前设置对象的初始状态。 如果我们不提供任何构造函数，JVM 会为该类分配一个默认构造函数。此默认构造函数不接受任何参数，即无参构造。 请记住，如果我们为任何类分配构造函数，那么 JVM 不会为其分配默认构造函数。如果需要，我们需要向类显式指定默认构造函数。 public class Employee { // 默认构造 public Employee() { } // 自定义构造 public Employee(int id) { this.id = id; } }   2. OOP 的 4 个特性 面向对象编程的四大特点是： 抽象 封装 继承 多态 2.1. 抽象 当我们将抽象与实时示例联系起来时，它就很容易理解。例如，当我们驾驶汽车时，我们不必关心汽车的确切内部工作原理。我们关心的是通过方向盘、制动踏板、油门踏板等接口与汽车进行交互。在这里，我们对汽车的了解是抽象的。 在计算机科学中，抽象是用形式与其含义（语义）相似的表示来定义数据和程序，同时隐藏实现细节的过程。 简而言之，抽象隐藏了与上下文无关的信息，或者只显示相关信息，并通过将其与现实世界中的类似信息进行比较来简化它。 通常抽象可以通过两种方式来看待： 2.1.1. 数据抽象 数据抽象是从多个较小的数据类型创建复杂数据类型的方法，这更接近现实生活中的实体。例如， Employee 类可以是具有各种小关联的复杂对象。 public class Employee { private Department department; private Address address; private Education education; //So on... } 因此，如果您想获取有关员工的信息，您可以从 Employee 对象中询问 – 就像在现实生活中一样，询问该人本人。 2.1.2. 控制抽象 控制抽象是通过隐藏复杂任务的操作序列（在简单的方法调用内）来实现的，因此执行任务的逻辑可以对客户端隐藏，并且可以在不影响客户端代码的情况下进行更改。 public class EmployeeManager { public Address getPrefferedAddress(Employee e) { //从数据库获取所有地址 //在这里实现获取所有地址的逻辑 //返回一个包含所有地址的列表 } } 在上面的例子中，明天如果你想改变逻辑，让每次国内地址始终是首选地址，你就改变getPrefferedAddress()方法内部的逻辑，  客户端将不受影响。 2.2. 封装 将数据和方法包装在类中并与实现隐藏（通过访问控制）相结合通常称为封装。结果是具有特征和行为的数据类型。 “无论发生何种变化，都要将其封装起来” – 一条著名的设计原则。 封装本质上既有信息隐藏，也有实现隐藏。 信息隐藏是通过使用访问控制修饰符（public、private、protected）来完成的，实现隐藏是通过为类创建接口来实现的。 实现隐藏允许设计者修改对象履行职责的方式。当设计（甚至需求）可能发生变化时，这一点尤其有价值。 让我们举一个例子来更清楚地说明这一点。 2.2.1. 信息隐藏 class InformationHiding { //限制直接访问内部数据 private ArrayList items = new ArrayList(); //提供一种访问数据的方式 - 内部逻辑可以在将来安全地进行更改 public ArrayList getItems(){ return items; } }   2.2.2. 实施隐藏 interface ImplemenatationHiding { Integer sumAllItems(ArrayList items); } class InformationHiding implements ImplemenatationHiding{//限制直接访问内部数据private ArrayList items = new ArrayList(); //提供一种访问数据的方式 - 内部逻辑可以在将来安全地进行更改 public ArrayList getItems(){ return items; } public Integer sumAllItems(ArrayList items) { // 在这里，您可以按任何顺序执行N项操作 // 这些操作您不希望客户端知道 // 您可以更改顺序甚至整个逻辑 // 而不会影响客户端。 } }   2.3. 继承 继承是面向对象编程中的另一个重要概念。继承是一个类获取父类的属性和行为的一种机制。它本质上是在类之间创建父子关系。在Java中，我们使用继承主要是为了代码的可重用性和可维护性。 Java 中的关键字“ extends ”用于继承类。“ extends”关键字表示我们正在创建一个派生自现有类的新类。 在Java术语中，被继承的类称为超类。新类称为子类。 子类从其超类继承所有非私有成员（字段、方法和嵌套类）。构造函数不是成员，因此不能被子类继承，但可以从子类调用超类的构造函数。 2.3.1. 继承示例 public class Employee { private Department department; private Address address; private Education education; //So on... } public class Manager extends Employee { private List<Employee> reportees;}   在上面的代码中，Manager 是 Employee 的特殊版本，重用Employee类中的部门、地址和教育，并定义了自己的reportees列表。 2.3.2. 继承的类型 单继承——子类派生自一个父类。 class Parent { //code } class Child extends Parent { //code}   多重继承——一个孩子可以从多个父母那里继承。在 JDK 1.7 之前，通过使用类在 java 中无法实现多重继承。但从 JDK 1.8 开始，通过使用带有默认方法的接口可以实现多重继承。 interface MyInterface1 { } interface MyInterface2 { } class MyClass implements MyInterface1, MyInterface2 { }   多级继承——指三个以上的类之间的继承，其中一个子类将充当另一个子类的父类。 class A { } class B extends A { } class C extends B { }   层次继承是指有一个超类和多个扩展超类的子类时的继承。 class A { } class B extends A { } class C extends A { } class D extends A { }   混合继承——是两种或多种继承类型的组合。因此，当类之间的关系包含两种或多种类型的继承时，我们就说类实现了混合继承。 interface A { } interface B extends A { } class C implements A { } class D extends C impements B { }   2.4. 多态性 多态性是一种能力，通过它，我们可以创建在不同的编程上下文中表现不同的函数或引用变量。它通常被称为具有多种形式的一个名称。 例如，在大多数编程语言中， '+' 运算符用于添加两个数字和连接两个字符串。根据变量的类型，运算符会更改其行为。这称为运算符重载。 在Java中，多态本质上分为两种： 2.4.1. 编译时多态性 在编译时多态性中，编译器可以在编译时将适当的方法绑定到相应的对象，因为它拥有所有必要的信息并且知道在程序编译期间调用哪个方法。 它通常被称为静态绑定或早期绑定。 在Java中，它是通过使用方法重载来实现的。在方法重载中，方法参数可以随参数的数量、顺序或类型而变化。 class PlusOperator { int sum(int x, int y) { return x + y; } double sum(double x, double y) { return x + y; } String sum(String s1, String s2) { return s1.concat(s2); } }   2.4.2. 运行时多态性 在运行时多态性中，对重写方法的调用在运行时动态解析。将在其上执行方法的对象是在运行时确定的——通常取决于用户驱动的上下文。 它通常被称为动态绑定或方法重写。我们可能听说过动态方法调度这个名字。 在运行时多态性中，我们通常有一个父类和至少一个子类。在类中，我们编写一条语句来执行父类和子类中存在的方法。 使用父类类型的变量给出方法调用。类的实际实例是在运行时确定的，因为父类类型变量也可以存储对父类以及子类实例的引用。 class Animal { public void sound() { System.out.println("Some sound"); } } class Lion extends Animal {public void sound() {System.out.println("Roar");}} class Main {public static void main(String[] args) { //Parent class reference is pointing to a parent object Animal animal = new Animal(); animal.sound(); //Some sound //Parent class reference is pointing to a child object Animal animal = new Lion(); animal.sound(); //Roar }}   3.更多面向对象编程概念 除了上述的四个面向对象编程构建基块之外，还有一些其他概念在构建整体理解方面起着重要作用。 在深入探讨之前，我们需要了解术语“模块”。在一般的编程中，模块是执行独特功能的类或子应用程序。在人力资源应用程序中，一个类可以执行诸如发送电子邮件、生成工资单、计算员工年龄等各种功能。 3.1. 耦合度 耦合度是模块之间相互依赖程度的度量。耦合度指的是软件元素与其他元素之间的联系强度。良好的软件将具有低耦合度。 这意味着一个类应该执行唯一的任务，或者只执行与其他任务无关的任务。例如，一个EmailValidator类只会验证电子邮件。同样，EmailSender类只会发送电子邮件。 如果我们将这两个功能都包含在一个名为EmailUtils的单个类中，那么这就是紧密耦合的示例。 3.2. 内聚度 内聚度是保持模块整体性的内在因素。良好的软件设计将具有高内聚度。 这意味着一个类/模块应该包含执行其功能所需的所有信息，而不依赖于其他内容。例如，一个EmailSender类应该能够配置SMTP服务器，并接受发件人的电子邮件、主题和内容。基本上，它应该只关注发送电子邮件。 应用程序不应该将EmailSender用于发送电子邮件以外的任何其他功能。低内聚度会导致庞大的类，难以维护、理解和降低可重用性。 3.3. 关联 关联指的是具有独立生命周期且彼此没有所有权的对象之间的关系。 以教师和学生为例。多个学生可以与单个教师关联，单个学生也可以与多个教师关联，但它们都有自己的生命周期。 两者都可以独立创建和删除，因此当教师离开学校时，我们不需要删除任何学生，当学生离开学校时，我们也不需要删除任何教师。 3.4. 聚合 聚合指的是具有独立生命周期但具有“拥有关系”的对象之间的关系。它发生在子类和父类之间，其中子对象不能属于另一个父对象。 以手机和手机电池为例。一块电池一次只能属于一个手机。如果手机停止工作，我们从数据库中删除它，手机电池将不会被删除，因为它可能仍然可用。因此，在聚合中，虽然存在所有权，但对象有自己的生命周期。 3.5. 组合 组合指的是对象没有独立生命周期的关系。如果删除父对象，所有子对象都将被删除。 例如，问题和答案之间的关系。一个问题可以有多个答案，但答案不能属于多个问题。如果我们删除一个问题，它的所有答案将自动被删除。 4.最佳实践 4.1. 优先考虑组合而不是继承 继承和组合都促进了代码的可重用性。但在继承与组合之间，更倾向于使用组合。 组合的实现通常从创建各种表示系统必须展现的行为的接口开始。接口使得多态行为成为可能。实现已确定接口的类会根据需要构建并添加到业务领域类中。因此，系统行为可以在没有继承的情况下实现。 interface Printable { print(); } interface Convertible { print(); } class HtmlReport implements Printable, Convertible { } class PdfReport implements Printable { } class XmlReport implements Convertible { } 4.2. 面向接口编程，而不是具体实现 这会导致灵活的代码，可以与接口的任何新实现一起使用。我们应该将接口用作变量、方法的返回类型或方法的参数类型。 接口充当超类类型。通过这种方式，我们可以在不修改现有代码的情况下，在将来创建更多接口的特定实现。 4.3. DRY（不要重复自己） 不要编写重复的代码，而是使用抽象将常见的内容抽象到一个地方。 作为一个基本原则，如果在两个地方写了相同的代码 – 考虑将其提取到一个单独的函数中，并在两个地方调用该函数。 4.4. 封装变化 所有软件都会随着时间的推移而发生变化。因此，将您期望或怀疑将来会发生变化的代码封装起来。 在Java中，使用私有方法来隐藏此类实现，以使客户端不必在进行更改时更改其代码。 还建议使用设计模式来实现封装。例如，工厂设计模式封装了对象创建代码，并提供了灵活性，以后可以引入新类型，而不会影响现有客户端。 4.5. 单一职责原则 这是面向对象编程类设计的SOLID原则之一。它强调一个类应该只有一个责任。 换句话说，我们应该为一个目的编写、更改和维护一个类。这将使我们能够在不担心更改对另一个实体产生影响的情况下进行未来更改。 4.6. 开闭原则 它强调软件组件应该对扩展开放，但对修改关闭。 这意味着我们的类应该设计得当，以便其他开发人员在应用程序中的特定条件下更改控制流时，他们只需要扩展我们的类并重写一些函数，就可以了。 如果其他开发人员由于我们的类所施加的约束而无法设计所需的行为，那么我们应该重新考虑更改我们的类。 在整个面向对象编程范 Paradigm 内还有许多其他概念和定义，我们将在其他教程中学习。 5. 总结 这个Java面向对象编程（OOP）教程讨论了Java中的四个主要OOP特性，附有易于理解的程序和片段。您可以在评论部分提出您的问题。   ...

互联网巨头再次推出力作：律师函寄给李跳跳的作者。原因是李跳跳通过无障碍模式帮助用户点击“跳过广告”按钮，给企业的广告投放业务造成了损失。通过屏蔽、过滤腾X浏览器的广告服务，吸引用户下载涉案软件，使其不正当地获得竞争优势。 与此同时，许多类似李跳跳的同类APP也收到了律师函。比如，叮小跳也发布公告宣布关闭。在同时收到律师函后，他们不约而同地宣布停止更新。 李跳跳APP是一款能够辅助跳过APP广告的插件，值得注意的是它是辅助性质的。也就是说，当你懒得点击“跳过广告”时，可以使用李跳跳软件来代替点击。这与早年的珊瑚虫QQ相比温和多了，珊瑚虫QQ当时屏蔽了QQ内部的所有广告，为网民提供了一个纯净版的QQ。我们都喜欢使用珊瑚虫，但最终却被腾讯起诉了。相较之下，李跳跳软件的做法更加温和。 实际上，腾讯的做法并没有错，它确实减少了用户的便利。毕竟，李跳跳这款软件损害的只是企业的利益。开屏广告作为存在多年的形式，肯定是有其一定用户群体的，否则也不会有商家继续投放开屏广告。对于大多数人来说，这是利好的。 因此，这就是一个矛盾体：从用户的角度来看，当然不愿意看广告。但从企业的角度来看，如果你不看广告，我怎么能盈利呢?如果我不能盈利，又怎么能为你提供更好的APP体验呢? 那么，应该如何解决这个问题呢?你有什么想法? 目前，我最需要的是两款软件：一款可以屏蔽所有手机APP开屏广告的，另一款是用来检测微信好友是否被删除或者被拉黑了的。不过，这两款功能目前都无法实现。 ...

通常我们遇到很吊的那种客户，我们心里会感到很负担，很怕出错导致合作出问题，所以总是选择和下面的人打交道，很想绕开他减少出错机会，但殊不知这样也同样失去了很多更重要的机会，有时候结果不一定是你想的那样。 我有个大客户是做铝材的，刚开始每个月只有万吧块钱的业务，后来他们的销售接了几单大客户，业务飙升到每年200多万的运费。 有次我想去给他们工厂送回单，走的时候业务员说:要不我去吧!怕你碰到大老板，他管生产的脾气不太好，喜欢屌人。小老板管业务的人很好，碰到都是有说有笑的。 但我反而觉得这是个机会啊，碰到最好!不把他心思搞清楚，以后怎么赚他钱啊!这个不是给备胎创造机会嘛! 好巧不巧那天去刚好碰到大老板!就真的就板着一张臭脸，哈哈!!! 态度该低还是要低嘛!该拍马屁还是要拍的嘛。我就主动和老板聊，我们合作这么久了，哪里有服务做的好的地方，你多指点啊。。。。 好话嘛谁不爱听啊，要面子嘛就先给他楼!聊完以后我就聊其他话题，之前他们的流程都是散装的，装车也好卸货也好，效率很慢。效率慢了，人工费就贵了很多。 建议打包起来，用叉车或者吊车卸货，可以节省很多费用，货损也低。这个说完那个大老板来兴趣了，笑着和我聊怎么打包，怎么上货下货快。 管工厂的我太懂了，那个不失眠啊，接着就聊各自养生的话题，然后一顿聊，提高睡眠质量[哈哈] 隔了几个月，我又去了几次，那见面都是笑眯眯的。还主动把一些有潜力的小客户，给我们做。 你们看，再难搞的人，也是有感兴趣的话题。前提是对他有利。 @温州土老板的微博...

  暗网勒索团伙LockBit最近几个月遇到了严重问题，其基础设施可能遭到黑客攻击。这是西方著名信息安全记者约翰·迪马吉奥（Jon DiMaggio）报道的，他发布了他的[勒索软件日记项目的第三部分]。 LockBit采用了勒索软件即服务（RaaS）的形式。有意使用此服务的各方支付押金以使用自定义的租赁攻击，并通过一种会员框架获利。赎金由LockBit开发人员团队和发起攻击的会员（附属合作伙伴）分配，后者最多可获得75%的赎金。 “我从第三方收到的信息表明他们可以侵入该组织的基础设施。当时，尚不完全清楚LockBit背后的人是否已经陷入了混乱，或者只是暂时休息一下。但他们的活动肯定被打断了。我相信这样做是为了消除对其基础设施的入侵的影响。”DiMaggio写道。 他补充说，LockBit在发布受害者数据时面临一些问题。他认为，该组织的成员试图利用两大暗网论坛（Exploit 和 XSS——俄罗斯网络犯罪分子经常使用的两个论坛）上的说服性宣传，来掩盖LockBit经常无法及时、一致地发布被盗数据的事实。相反，该社区据称依靠空洞的威胁及其声誉来说服受害者付款。 DiMaggio表示，这是由于该集团内部基础设施和低带宽的限制。 DiMaggio表示，LockBit最近升级了其基础设施以解决这些缺点。然而，这实际上是一种策略，旨在给人留下受害者数据发布中的错误已被纠正的印象。合作伙伴将LockBit计划留给竞争对手。他们知道，尽管有最新声明，LockBit无法发布有关受害者的大量数据。 DiMaggio发布了他的主要发现： 一、LockBit目前可能已经被入侵 暗网勒索团伙LockBit利用Tox进行通信和实现勒索操作，但是在DiMaggio与LockBit团伙分享他这份报告中的发现后，LockBit团伙就从Tox上消失了。与此同时，DiMaggio收到了来自LockBit附属合作伙伴的消息，他们认为是DiMaggio入侵了该团伙。然后，DiMaggio收到了来自第三方的另一条消息，表明他们可能已经入侵了该团伙的基础设施。当时，尚不清楚LockBit团伙背后的人是否已经躲藏起来，或者只是在休息，但他们没有活动的情况非常明显，DiMaggio相信该团伙是为了清理对其基础设施的入侵而销声匿迹的。 二、Lockbit无法持续发布和泄露受害者数据 LockBit团伙在其暗网泄密网站上进行宣传，并在犯罪论坛上进行大肆宣扬，以掩盖其经常无法持续发布被盗数据的事实。相反，它依靠空洞的威胁和自豪的公众声誉来说服受害者付款。不知何故，除了附属合作伙伴之外，没有人注意到这一点。此问题是由于其后端基础设施和可用带宽的限制造成的。 三、LockBit最近更新了其基础设施来解决这些问题 然而，这只是一个噱头，让人看起来以为它修复了前面提到的无法持续发布受害者数据的问题。它声称受害者的“文件已发布”。通常，这是一个谎言和策略，目的是掩盖“LockBit无法像向其附属合作伙伴承诺的那样，通过其管理面板持续托管和发布大量受害者数据”的事实。此外，在过去的六个月里，LockBit提出了空洞的威胁，但在许多受害者拒绝付款后却没有采取任何行动。 四、附属合作伙伴正在离开LockBit，转而投奔其竞争对手 他们知道，尽管LockBit声称无法发布大量受害者数据。此外，他们需要几天到几周的时间来审查信件并回复其附属合作伙伴。有些请求根本没有被LockBit团伙解决。 LockBit团伙错过了最新的发布日期，无法生成更新的勒索软件变体来支持其附属合作伙伴。 五、LockBit依赖于使用竞争对手泄露的过时的、公开的勒索软件 LockBit希望从其竞争对手的勒索软件团伙窃取勒索软件，用于自己的运营，并通过其管理面板提供。它希望提供点菜式的勒索软件产品，并成为黑客附属机构的一站式商店。...

近年来，网上不断传有中国人被骗被至东南亚缅北、柬埔寨、菲律宾从事电信网络诈骗，尤其有公民被绑架至缅东妙瓦底的KK园区，令人人心惶惶，不敢去泰国、柬埔寨等地旅游。近日，再次传出有中国百万网红“雅典娜liya”疑遭其闺密出卖，被卖到菲律宾，疑似被强奸，并已失踪近4个月，至今仍生死未卜，引起大批网民在暗网搜索该事件。 东南亚成为人人恐慌的地方？ 其实东南亚很多地方都是安全的，不安全的只是缅甸的部分地区。 许多中国公民被骗到缅甸，被迫从事电信网络诈骗。据不少被骗到缅甸等国从事电信诈骗的人员供述，平常工作的地方都有当地民兵或雇佣兵持枪把守，想逃跑是不可能的。如果试图逃跑，很可能会被毒打、扔进水牢，“逃跑被捉到的人会被民兵持枪殴打，在那里被打死都可以的”。 被骗到东南亚的中国女人还可能成为境外淫秽色情犯罪组织的“牟利工具”，被逼接客卖淫或成为淫秽色情直播网络平台的色情主播。 传百万网红雅典娜被卖菲律宾？ 中国一名网红“雅典娜liya”在2021年曾获世界小姐澳门区季军，却惊传在菲律宾失踪！综合消息指出，雅典娜原本4月要陪闺密李怡霏到菲律宾游玩，李怡霏也是一名网红。但在出发当天，闺密李怡霏对雅典娜表示家中临时有事无法出国，雅典娜便独自搭上飞机前往菲律宾。但是，雅典娜一到达菲律宾后，即音讯全无，至今已经4个多月仍然失联，手机一直都是关机状况，更传出家属已付了约80万元赎金，但还是找不到雅典娜，甚至有“知情人：活着的希望不大”。   此新闻传出后，随即引发不少网民议论，认为雅典娜的失踪是李怡霏故意安排的，是李怡霏将雅典娜骗到菲律宾的。对此，李怡霏表示她心情不好而约了雅典娜去菲律宾散心。李怡霏强调雅典娜落地后，打电话给她报过平安，还提及自己前往赌场游玩，她自己也没想到后来就再也联系不上雅典娜。   继续疯传：李怡霏的澄清并没有令网民信服，有人起底了李怡霏与其母亲曾做过陪酒老鸨的事情，让人联想到雅典娜会不会是被李怡霏卖去菲律宾。更有知情人士爆料，通过微信得知李怡霏称自己人在香港，但两日后联系李怡霏的爸爸时，对方却表示女儿人在伦敦，父女说词不一，也让人难以相信。 暗网上都在寻找雅典娜的色情视频 暗网一些骗子表示“雅典娜liya”已被骗至缅东妙瓦底的KK园区，并且被拍了性虐待的视频；还有骗子说抖音百万粉丝博主雅典娜Liya被闺蜜骗去菲律宾卖进妓院被强奸，真相令人心痛；也有骗子称百万粉丝网红“雅典娜Liya”被闺蜜骗至菲律宾，两张虐打裸照在网络上疯传。 但以上说法均为经中国官方证实，而且极大可能存在杜撰的可能性，骗子只是为了制造故事在暗网上出售假的视频。   据传“雅典娜liya”出事后，许多好奇的网友在暗网上寻找雅典娜的被强奸视频，但“Kirin博客”认为这些都是假视频，也许是AI换脸，也许就是其他视频拼凑。因为“雅典娜liya”事件大概率是杜撰出来的。 “Kirin博客”分析 “Kirin”分析：“雅典娜liya”事件大概率是杜撰出来的。 原因一：没有一家公安局的官方发布了相关信息，如果家属报案，一定有警方受理跟进的。 原因二：没有一家官方媒体发布新闻报道。 如果大网红失踪了，官方媒体肯定会跟进报道的，但是现在全部是自媒体在散布耸人听闻的消息。...

朋友圈本来就没有朋友。 那是一群暗中观察者。看到你的成就，会由衷的不爽，并打上炫耀的标签，继而路过不赞。 那是一群谄媚者。看到大领导发个状态，齐刷刷点赞，生怕落于人后。 那是一群忙碌者。忙碌到一天到晚刷手机，就是不刷你转发的优质文章，你的转发没有引起任何共鸣。 那是一群漠视者。看到你出游的快乐瞬间，鼻子里哼唧一声这孙子又出去玩了，然后默默翻过。 那是一群很有“爱心”的人，就盼着看你“信用卡欠费”、“半年找不到工作”等等状态，他们从中能读到愉悦感。 所以，如果把朋友圈当成“朋友”组成的圈子，那可能会很失望，他们不是父母、亲人，不会为你的成功鼓掌。他们不是现实生活里谈笑风生的伙伴，不会跟你形成共鸣。 @披荆斩棘赵律师的微博...

文章目录 闲言碎语 我的梦想已经破灭了 接下来我该怎么办呢？ 我感受到的整体环境是这样的 闲言碎语 今天我回家陪父母吃饭，他们一如既往地唠叨着，抱怨我这个年纪还没有结婚，没有稳定的工作等等。尽管我对他们说的很多事情都表示认同，但实际上，在我这个年纪和阶段，虽然看似有很多选择，但实际上我并没有真正的选择权。我所能做的只是努力赚更多的钱。 以下内容来自掘金用户wjt的亲身经历分享。 在这个信息爆炸的时代，我们知道应该朝着更高的目标努力。然而，当你想要迈出下一步时，你会发现自己的上限早在出生或毕业的那一刻就已经注定。虽然少数人通过努力可以突破壁垒，实现理想的高度，但这只是小概率事件。在我看来，整个社会的发展似乎早已陷入了一种怪圈。 在我刚进入社会的早些年，我有着简单的想法。我只想努力工作，提升自己的专业素养，得到老板的认可，升职加薪成为一名管理者。如果被淘汰，那肯定是因为自己不够优秀，不够努力，专业技能不够过硬，人际交往不够圆滑等等。 然而，当内卷成为热门词汇，35岁被裁员成为常态时，我回头看自己以前的想法，发现它们只是笑话。（我可能只是为自己被淘汰找借口） 现在的状况是这样的，我参与的游戏工作室项目基本处于停滞状态。我不敢关闭电脑，也不敢关机。有时候我会想，是不是全中国的三四亿人都在从事这个行业？国外一款游戏，金价直接飙升到这个地步。 至于汽车配件行业，只能说勉强维持生计。（我在游戏工作室上花费了太多精力） 我的梦想已经破灭了 按照正常情况，游戏工作室最初的阶段，我应该能挣点钱。我觉得我具备了时机、地利和人和。但现在看来，我只占了人和一项。我会编码，使用脚本模拟键鼠，写了一套脚本。然而，我并没有赚到钱。 接下来我该怎么办呢？ 也许我应该去工厂打螺丝。（开个玩笑） 或者老老实实跟着我弟学习做生意吧，老实做汽车配件吧！在这个时代，似乎拥有一项技能（尤其是IT领域）的人，并不能过得很好。除非你的技能非常特别。（当今中国并不需要太多这类专业技术人员吧。） 我感受到的整体环境是这样的 我周围有很多牛人。从他们的口中和我自己的观察来看，我觉得国内IT领域的环境非常恶劣。在前端领域，除了UI库，我使用的许多库都是外国人开发的。为什么没有国人开源呢？因为国人都忙着996。我们可以在一无所知的情况下，通过复制粘贴和全局搜索解决大部分问题。机械视觉、大数据分析、人工智能等等，这些基础技术早在多年前就已经存在，为什么没有人去研究它们呢？为什么我们这一代人不断学习这个框架、那个框架？虽然搭积木很有趣，但创造一个积木难道不应该是更具挑战性的事情吗？ 在招聘网站上，有一种奇怪的现象。看起来某家公司在招聘，实际上是一个培训机构。看起来某家公司在招聘兼职，实际上只是想骗你办理兼职卡。看起来某家公司在招聘快递员、外卖员、司机，实际上只是想套路你买车。真是让人气愤。这是怎样一个恶劣的生存环境。这些人难道不能从事一些正经的工作吗？ 卖菜的、拉车的、搞电商的、搞短视频、搞贷款、卖保险，这些公司市值都达到了数百亿。很难看到通过创新、创造和产品质量发展起来的公司。 ...

文章目录 首先，不要裸辞，不要裸辞，不要裸辞 第三，要对预期薪资和被拒原因有所了解 第四，锚定薪资 第五，要准备好涨薪的说辞 第六，要主动询问，预判结果 第七，不断迭代升级 总结 最近我读了一些关于找工作的文章，特别是一位00后找工作的经历，历时2个月，使用了各种途径，也遇到了各类公司。读完之后，我深感新一代的年轻人令人钦佩。他们在找工作过程中运用了许多技巧，避免了许多坑，也掌握了一些要点，我将其中的一些经验总结如下，供大家参考。 首先，不要裸辞，不要裸辞，不要裸辞 这是非常重要的。在当前的市场环境下，找工作时千万不要轻率地辞去现有的工作。裸辞会带来被动、心态不稳和议价权缺失等问题。如果手头没有备选工作，没有收入来源，而且对未来的工作也没有明确的计划，那么你会陷入非常被动的境地。无论是面试还是谈薪资，你都处于劣势。一旦找工作的时间过长，超过一个月甚至更久，你可能会陷入自我怀疑的情绪中，同时，下家公司也会根据你的找工作空档期来评估你的能力。 其次，内推是首选通道。这位00后的前端工程师在找工作时不仅使用了传统的招聘网站，还在技术平台和技术社区发表文章，寻求内推机会。他通过这些渠道获得了20多个内推机会。只要你的思路足够开阔，你就能比别人拥有更多的优势。与直接投简历相比，通过技术平台和社交平台的内推能更好地展示自己，更快地与公司拉近距离。在简历筛选过程中，你已经脱颖而出。 第三，要对预期薪资和被拒原因有所了解 在找工作的过程中，除了能力本身之外，大多数被拒的原因是期望薪资过高。许多HR也会直接告诉你：今年市场不景气，求职者众多，许多公司都在降低成本，如果你是在互联网红利时期，你的薪资期望是可以的，但现在可能就不太可能了。当然，这些原因一方面是HR的议价技巧，另一方面也反映了市场现实。 第四，锚定薪资 在简历中，不要写具体的数字，而是给出一个薪资范围，其中最低值是你理想的薪资。当面试结束后，了解具体的福利待遇、工作节奏和奖金等情况后，再根据自己的预期和面试情况进行调整。这样的调整也是试探市场，了解自己目前能够获得的薪资范围。最好是在拿到一个offer之后，再适当地上调一部分。 第五，要准备好涨薪的说辞 当HR问你为什么要提高薪资时，比如，HR会问，你上家公司才12k，现在希望18k，为什么涨幅会这么高呢？你可以回答说，经过几年的努力和业务积累，你的技术水平和业务逻辑显著提高，可以创造更大的价值。同时，你对这个行业非常热爱，平时80%的业余时间都用来学习和提升自己。另外，你也可以根据公司的工作强度、业务复杂度和挑战程度来说明涨薪的理由。 第六，要主动询问，预判结果 在找工作的过程中，许多人在回复“等消息”之后就只是等待，而有一部分求职者会在一段时间后主动询问HR和面试官，以获得更多的预判信息。甚至可以询问没有获得offer的原因，以备后续找工作时使用。在这个过程中，你实际上可以争取到更多的机会，甚至能够扭转公司正在犹豫的结果，你的主动行为会为你带来更多的机会。 第七，不断迭代升级 无论是面试中遇到的技术问题还是其他问题，面试后都需要进一步学习，为下一次面试做准备。对于面试中不懂的内容，可以查阅资料，咨询专家，动手实践等等，甚至可以整理成文章。无论采取何种形式，都是对面试过程的回顾和总结，不断迭代，让自己做好下一次面试的准备。 总结 总之，找工作的过程中还有许多其他注意事项，需要不断总结和迭代。学习他人的面试经验，提前做好准备，形成自己的面试方法论，能够让你脱颖而出。面试前后的努力往往比工作中的努力更重要，因为选择错误会大打折扣。最后，希望大家都能够获得满意的工作机会。 ...

2023年5月，德国商报发文称特斯拉存在数据泄露事件，时间跨度从 2015 年至 2022 年 3 月，覆盖了美国、欧洲和亚洲特斯拉车主报告的投诉。在此期间特斯拉车主报告了 2400 多起自动加速问题和 1500 多起制动问题，其中包括 139 起“意外紧急制动”报告和 383 起错误碰撞警告导致的“幽灵刹车”报告，客户纷纷表达了对安全的担忧。 而据国内多家媒体报道，近日特斯拉向其员工以及美国执法部门通报了“100G数据泄露事件”的具体规模及原因。 8月18日，美国缅因州总检察长办公室发布消息称，2023年5月，特斯拉数据泄露事件影响超过7.5万人，其中包括与员工相关的各种敏感信息，例如姓名、住址、电话、电邮、薪资等等。 位于特斯拉欧洲超级工厂所在地勃兰登堡州数据保护官Dagmar Hartge表示，“这是印象中规模最大的一次数据泄露事件”。正因为数据量如此庞大，超出当时相关部门处理权限，所以该案件已经移交至荷兰当局。 根据相关法规，若是在调查中证实特斯拉确实存在违规行为，特斯拉可能要面临高额处罚，也就是其年销售额4%的罚款，大概在35亿美元（约合人民币247亿）。 特斯拉对此事进行回应，“心怀不满的前员工”滥用了他们作为服务技术人员的权限，违反了特斯拉的 IT 安全和数据保护政策，特斯拉将对涉嫌泄密的个人采取法律行动，并且没收其电子设备，禁止前雇员进一步使用、访问或传播数据等等。 换句话说，特斯拉已经承认了这一事件，指出这是“内部不法行为”的结果。此次数据泄露事件的严重性不容忽视。特斯拉作为全球领先的电动汽车制造商，在全球保有量如此之高的情况下，还需进一步加大对数据安全和隐私保护方面的投入，并真正将其落到实处。 事实上特斯拉曝出数据安全问题已经不是第一次，除了驾驶问题外，特斯拉还出现过严重的客户信息泄露问题。我们关注到，今年4月6日路透社就曾报道称，在 2019 年至 2022 年期间，特斯拉员工竟通过内部消息系统私下分享车载摄像头记录的音视频内容。 ...