山木兮枝的温馨小屋

大模型风控机制

漏洞集

（一）风控策略介绍 1. 内生安全机制 (1). 简介该机制也叫做安全对齐，是指模型在设计，训练和推理过程中，直接融入模型内部的安全机制和方法，而不是仅仅依赖外部的安全措施 (2). 实现方法意图识别控制：(针对输入)识别并拒绝执行可能导致伤害的指令，如恐怖主义、种族歧视或侵犯个人隐私伦理约束

漏洞集

命令执行 1. 定义应用程序直接或间接使用了****动态执行命令的危险函数，并且这个函数的运行参数是可控的，导致恶意命令执行 2. 防御尽量****少使用执行命令函数或者禁用disable_functions 在进入执行命令的函数之前，对****参数进行过滤，对敏感字符进行转义参数值尽量使用*

漏洞集

文件包含 1. 定义把****可重复使用的函数写入到单个文件中，在使用该函数时，直接调用此文件，而无需再次编写函数，这一过程叫做包含 2. 产生条件用户可以****控制包含文件的传参内容服务端****未过滤或未严格过滤参数传入内容 3. 相关函数 include()、include_once(

漏洞集

文件上传 1. 定义文件上传时，未考虑文件****格式、后缀的合法性校验问题，或只考虑在前端通过js进行后缀校验 2. 产生条件未过滤或未严格过滤文件格式、后缀文件检测被绕过不完善的黑名单扩展名文件路径被截断 </

漏洞集

MSSql注入 1. 定义使用****微软开发的Sql Server数据库来进行网站搭建 2. 技战法 SQL注入查登录用户Hash 查询登录用户的HASH密码 id=0' union select 1,2,(select master.dbo.fn_varbintohexstr(password

漏洞集

XSS 1. 概述 (1). 定义跨站脚本攻击XSS，指通过某种方法将****恶意的Script代码注入到Web页面中，当用户浏览该页之时，嵌入其中Web里面的Script代码会被执行，从而达到恶意攻击用户的目的 (2). 原理 XSS，是指攻击者通过在****Web页面中写入恶意脚本，造成用户在

漏洞集

XXE 1. 定义 XXE，全称XML外部实体引入，应用程序在解析XML输入时，没有过滤XML文件内容或禁止外部实体的加载，导致可加载恶意外部文件 2. 产生原因对上传的xml文件没有过滤没有禁用外部实体的加载 3. 危害读取任意文件执行系统命令内网端口扫描攻击内网其他网站 4. 防御

漏洞集

反序列化 1. 定义序列化就是把****一个对象变成字符串的操作，方便以特定的格式在进程之间跨平台、安全的进行通信；反序列化就是把字符串转化为对象的操作。PHP反序列化漏洞也叫PHP对象注入 2. 形成原因程序****没有对用户输入的反序列化字符串进行检测，导致反序列化过程可以被恶意控制 3.

漏洞集

CSRF 1. 定义全称跨站请求伪造，可以强制终端用户在当前对其进行身份验证后的Web应用程序****执行非本意的操作 2. 原理 CSRF是一种****欺骗受害者提交恶意请求的攻击，他继承了受害者的身份和权限，代表受害者执行非本意、恶意的操作 3. 满足条件登陆****受信任网站A，并在本