Suno是一个AI音乐创作应用，支持中英文歌词输入生成歌曲。用户每天有50个credits用于创作，可选择默认随机模式或自定义模式。自定义模式需要输入歌词和音乐风格，可创作出具有特定结构的歌曲。通过结合Kimi，用户能创作出周杰伦风格的歌曲。

日常生活中不论是学校还是培训机构，都会采用积分奖励的方式激励儿童，但仔细一想，这样的做法似乎又背离了教育的初衷。

本文是过年期间经历生病、焦虑和抑郁，并且after getting up之后，对于这段经历选择采用的不同方法来治愈自己的总结。

在国内从事安全业务是相当困难的，无论客户是个人消费者还是企业，本文从行业生态和客户特点分析为什么乙方安全业务非常难做，以及如果要突破应当要做什么。

一家企业的成长过程中，随着员工人数的增加，有的人会发现企业人员越来越臃肿，甚至人员增加了几倍，产出效率却依然保持不变。本文从笔者亲历的一件事情分析为什么企业人员会随着发展越来越臃肿。

本文介绍如何使用R2S进行路由接入，以及主路由和旁路由两种不同的接入模式的优点和缺点。

本文是SDL实践系列的最后一篇文章，在软件产品开发完毕后的正式运行过程中仍然有包括应急响应在内的诸多工作要开展。

本文是依据早前的实验整理而来的，虽然非常简短，但对于可乐爱好者而言非常值得一试。

本文是SDL实践系列的第五篇文章，着重介绍在安全测试或安全验证阶段可以采用的思路和手段。

本文是SDL实践系列的第四篇文章，主要内容是如何在软件开发实施过程中采用恰当的安全手段和措施保障代码实施安全。

Nmap工具常常被用来识别端口以及端口对应的系统服务或系统应用，在安全测试过程中能够识别更为详细的服务版本也是相当重要的。但Nmap不一定能够对所有的服务版本都能够识别，本文解决的是Nmap识别MongoDB 6.0的问题，通过手动修改Nmap的指纹文件识别该服务版本。

MidJourney最近非常火热，通过文本生成的图片极其逼真，笔者继续尝试基于官方的操作指令探索MJ的更多用法和效果。

谨以本文怀念左耳朵耗子。

处于外出旅行的需要，充电宝还是非常有必要备一个的。同时考虑到可以DIY的可能性，于是通过淘宝购买了套件组装了一个充电宝，顺便研究了充电协议和充电宝的容量问题。

工作中许多人会遇到需要上台进行演讲或分享的情况，但能够在演讲中将自己的意思全部并完美表达出来的并不多，也就是所谓的效果。本文介绍如何演讲能力不够好的原因，以及如何逐渐改进个人的演讲能力。

虽然ChatGPT很好用，但是由于访问来源的限制，对于非原生IP的要求，许多时候即便翻墙也不能正常访问。本文介绍如果通过利用Cloudflare的Warp解决ChatGPT无法访问的问题。

MidJourney最近非常火热，通过文本生成的图片极其逼真，笔者尝试基于官方的操作指令探索MJ的更多用法和效果。

钓鱼演练是当前很多企业在安全意识工作中常常会选择的一种方式，同时也希望通过这种方式来检验公司人员的安全意识和能力。本文介绍的是企业钓鱼攻击演练中会涉及到的设计思路、攻击方法，但不涉及具体的技术细节和方案。

笔者从准备考CISSP到通过CISSP考试大约用了5个月时间，本文介绍从准备考试到通过考试总结的一些CISSP认证的考试经验。

Lua语言可以作为Nginx插件的开发语言使用，本文介绍的是使用Lua语言开发Nginx的插件来实现对于恶意访问IP的阻拦，并自动添加和设置HTTP的安全响应头，以节省Nginx的配置操作。

内存取证是电子取证的一部分，也是电子取证中相对较难的部分。CTF比赛中常常有关于内存转储或取证的题目，但大多数题目在设计上相对粗浅，或不贴近实际工作。本文介绍的是基于Volatility工具的内存转储和取证分析的基本原理和操作。

数据安全是当下很多企业所关注的核心部分，同时也是所有企业安全建设的最终目标，但数据安全又牵涉到业务和开发深处，以至于从数据安全构建上存在极大的复杂性和艰难性。本文通过笔者的实践经验粗浅的介绍企业安全建设过程中数据安全相关的实践经验和总结。

最近有安全研究人员爆出2007年的CVE-2007-4559漏洞没有被修复，这个漏洞影响到了Python的tarfile模块，可以造成系统文件的任意读取和写入。本文从原理和利用角度介绍和分析该漏洞。

2015年9月，有人爆出XCode编译器中存在植入的第三方代码，非官方渠道下载的XCode编译发布的iOS应用可能存在后门，后经证实，有上千款iOS应用存在恶意代码注入，该事件被称之为XCodeGhost。 2017年5月，国外的安全人员发现惠普多个系列笔记本电脑的音频驱动中存在内置键盘记录器，能够监控用户的按键...

这是SDL实践系列的第三篇文章，主要介绍在软件设计过程中应当开展的安全活动，以及在敏捷开发模式下如何灵活的运用威胁建模方法，用较短的时间实现安全设计。

本文介绍和总结了笔者在过去的安全漏洞挖掘和分析经验中和软件设计相关的七类安全问题。

一家企业的安全人员发现产品在测试环境和生产环境中有一个完全不同的路径穿越漏洞，该漏洞在测试环境中没有发现，却神奇的会在生产环境中出现。经过分析发现是由于Amazon的负载均衡内部的Nginx配置导致。本文从源码层面分析Nginx中merge_slashes的配置，并介绍该配置是如何阻止路径穿越漏洞的。

许多企业在接触不同安全公司的安全产品中，没有清晰的思路将安全产品在工作中真正运用落地，导致安全预算的浪费，又或者安全工作的低效。笔者在接触不同的企业的安全部门过程中，发现共性的问题是一致的，即没有清晰的产品落地思路，因此本文特意介绍安全产品在企业安全建设过程中的落地思路。

本文介绍了笔者在企业信息化和数字化方面的经验和总结，笔者曾经在两家公司构建了方便员工办公和提升工作效率的内部信息化系统或数字化系统，帮助公司各个团队不同程度提升了工作效率。

有人突发奇想，说如果在空间站建设云计算集群，利用外太空的低温应该可以方便散热，而且没有空间限制。这个想法引起笔者的兴趣，于是结合国际空间站和电脑的构造原理，对太空的云计算可行性进行了一些分析和研究。

安全公司很多的业务是产品业务，但是同样很多安全公司的产品业务发展的并不理想，结合自己所在公司的情况，总结和分析安全产品业务发展过程中呈现的问题，以及反思能够进行的改进措施。

笔者从大学毕业之后就开始项目管理，后来一直带领和管理各类不同规模的团队，其中是以技术团队为主。本文介绍和分享笔者在过去大约十年的技术团队管理积累的经验和教训。

本文介绍的是各种称呼的安全测试之间的区别以及标准的渗透测试流程的过程，其中包含了笔者对于各个阶段的理解和认识。

本文介绍的是通过Swaks工具对于不同企业邮箱的邮件伪造试验，并对比相同伪造方法下不同企业邮箱对于伪造邮件的防御能力。其中还发现QQ邮箱或腾讯企业邮箱存在的一个漏洞，但可惜官方并没有认可该漏洞。

邮件安全是企业安全的基础安全的重要环节，但涉及到邮箱安全设置的配置却不仅一点，可能会由于管理人员或运维人员对于邮箱安全的不熟悉，导致邮箱并未真正得到安全保障。本文介绍的是邮件安全中的安全防护设置以及基于邮件头的邮件发件来源溯源原理。

BadUSB攻击已经是多年前的技术了，攻击成本只需要十来块人民币，网络上有很多基于诸如Rubber Ducky的制作方法。笔者用手头的Arduino设备想制作BadUSB的攻击设备，本文即是介绍基于Arduino UNO的BadUSB攻击方法（当然，其他类型的Arduino设备也可以使用）。

本文是SDL实践系列的第二篇文章，重点介绍在软件的需求阶段应当如何构建和开始安全要求相关的工作。

信息安全工作总是会被人为分为甲方和乙方，所谓甲方是指本身不从事安全业务的公司，所谓乙方则是业务方向是与安全相关的公司。但甲乙方真的有很大的差别么？如果在找工作的话，选择甲方或乙方各有什么样的利弊呢？本文介绍甲乙方安全工作的区别。

虽然很多人在日常生活中常常称呼自己具有很好的沟通能力，但实际的沟通过程中又会因为种种不良的习惯造成不必要的误会和不必要的时间浪费。本文介绍的是不太容易的沟通能力中到底有哪些方面需要注意，其中包括职场中的、生活中的常用沟通方式，比如微信、电话、邮件等等。

产品对比是产品经理进行市场调研时候的必修课，或者是一名合格产品经理应当具备的基础能力。本文从功能拆解和流程分析两个角度介绍如何进行同类产品的横向对比。

本文是SDL实践系列的第一篇文章，重点介绍SDL的缘起和基本概念以及理念，并详细介绍了在SDL工作开展之初，关于安全教育工作需要开展的内容，并对比了不同的安全教育方式和思路。

很多技术人员出于种种原因没有做文章的习惯，本文介绍了技术人员在做技术文章时候可以选择的几种思路或方向，以及每个方向能够开始写作的角度。

本文简要介绍Leet 1337的编码方法，该方法被广泛运用于早期各个技术论坛或BBS，之于中文相当于火星文，是国外黑客文化的一种体现。这种编码方式无关乎真正意义上的字符编码，而是一种文化之下的字符替换思路，通常是人工替换完成的。

看到推上有人发了一张png图片，保存并修改后缀位zip后竟然是一个压缩包，而且解压后的内容是可以正常运行的Python程序。这引起了我的好奇，于是照葫芦画瓢仿制了一个更为简单的实现（原作者认为考虑的情况不够周全，故拒绝了PR），同时分析了这种现象的原理。

信号机系统是用于交通领域的信号处理，主要包括路口的红绿灯，但红绿灯系统现在作为信号机的重要组成部分，也存在一定的安全风险。本文从信号机的角度介绍和分析信号机中常出现的安全风险和安全漏洞。

在系统终端中使用命令行时候也会遇到需要匿名发送请求的场景，这个时候可以选择Tor网络作为匿名请求的传输节点。本文介绍的是如何使用Tor网络构建终端下的匿名请求。

本人在一家名不见经传的互联网公司从事CIO的工作两年时间，期间积累了不多但也不少的关于信息化、组织化的工作经验，真正意义上对于人员管理和组织管理有了更加深刻的见解和认识，本文是离开CIO岗位后对于这个岗位工作的一些反思和总结。

销售管理中需要对销售人员的客户跟进记录进行质量评估，以把握客户的跟进情况，但跟进记录千奇百怪，靠人工审核是不现实的。本文尝试使用机器学习中的TF-IDF算法和朴素贝叶斯算法对销售记录进行训练，从而通过机器学习对销售记录进行质量评估。

XShell是很好用的终端管理工具，但如果忘记了会话的密码是一件很麻烦的事，本文介绍的是如果用简单的Python代码找回被遗忘的会话密码，或者叫做服务器连接密码。

本文介绍了在某些场景下，如何使用SSH的端口转发功能实现对于无法访问或无法连接服务器的连接操作，其中用到了SSH的参数ProxyJump。

前段时间看到一篇文章，是关于手机失窃后自己的资金被黑色产业链盗走的，虽然原文已经被删除，但可以反应除移动安全或者手机安全方面普通人应当注意到的安全风险。本文进一步探究了SIM卡安全的相关问题，并亲身实践发现结合社工手段，即便设置SIM卡密码也依然存在巨大的风险。

看到有人在推上发了一条在HTTP Response Header中呈现的卡通图案，感觉很有趣，但对方用的并非是常用的Apache或者Nginx服务，所以采用类似的思路，用Nginx+PHP实现了类似的效果。这同时也可以看到ANSI转义序列在Web安全中的风险和应用。

本文介绍WSL中安装了Kali系统后，如果通过宿主机对Kali系统进行桌面访问，而不必使用终端。WSL一直在更新和发展，因此文章中办法在后续WSL的更新中可能会失效，或者有官方自带的桌面访问方式替代。

在一些场景下需要对于SSL或TLS加密的通讯进行解密，尤其是遇到二进制应用程序的时候，因此需要能够使用正确的方法对于SSL/TLS通讯进行解密，而最合适的工具莫过于Wireshark。

在安卓手机上遇到奇怪的高德地图导航失灵的问题，始终提示信号弱，无法实时定位自己的坐标。在反复尝试之后，发现需要对于手机中的AGPS数据进行重新加载。

做正确的事，等着被开除。这句话很多人第一次听到会忍不住笑出声，觉得实在过于荒诞而难以置信。但实际上，只要我们抱着这样的心态工作，会自然的发现工作中很多迷雾会散开，工作起来会自然而然的秉承自己的专业性，而不用顾忌其他纷纷扰扰的办公室文化。

看到网上有一个关于程序员是如何玩Chrome浏览器中的小恐龙游戏的，发觉自己是可以DIY一个类似的。于是用手边的Arduino以及伺服电机、光敏传感器手搓了一个一模一样的装置。

在DevOps的理念中，核心的理念是持续反馈、持续改进和持续学习，因此对于不同的公司会有不同的DevOps流程，关键不在于流程和工具的选择，而是对于理念的践行，即便在2008年以前，DevOps尚未风靡的时候，便有公司在践行这样的理念，也因此催生了DevOps。

许多管理者会习惯性的开会，所谓习惯性是说即便没有必要召开一次会议，也会通过会议的形式来达到目的。但是会议的时长越长，所造成的伤害越大，这包括了对于与会人员的身心压力和对于团队成本管控的考虑。

使用Javascript在用户进行双击操作时候自动复制文本是很多网站具备的功能，本例来自对于百度一处复制操作的Bug，从而发现可以使用更为简单的办法实现相同的功能。

远程工作在疫情之后变成了很多公司的选择，即便在人员不在现场的情况下，也依然能够保证顺畅的、同步的工作协同，有的人可能对于远程工作会有管理上的焦虑。实际上即便在日常办公室中，大多数时候的工作方式也与远程工作类似，实际上平常也在远程工作。

本文介绍的是PHP自带的过滤函数filter_var对于邮箱地址有效性检测的不足，通过构造特殊的邮箱地址，可以绕过该过滤函数的邮箱检测机制，从而触发XSS漏洞。

本文介绍在Python程序中如何利用不安全的函数evil来实现对于拒绝服务攻击代码的执行，以及其攻击原理。

虽然一直有读书，但从未真正意义上对于自己的阅读有计划和有目标，几年前开始强制自己每年的阅读量，第一次是从2019年开始，当年阅读了超过50本的书。本文介绍的是如何在一年的时间实现这个目标，以及如何有效阅读一本书。