摘要： 失效的访问控制（Broken Access Control）是OWASP 2021 TOP1高危漏洞，核心问题是后端未对用户权限有效校验，导致越权访问、未授权访问等风险。漏洞分为水平越权（同级用户数据互通）、垂直越权（低权限提权）、未授权访问及目录遍历四类，危害包括数据泄露、业务篡改、权限接管等。修复需采用后端统一鉴权、RBAC角色模型及数据归属强制校验，杜绝前端依赖。企业需结合代码规范、

摘要： 命令注入漏洞因用户输入直接拼接至系统命令执行而引发，危害直达服务器操作系统。文章系统梳理了漏洞原理（如Java/PHP/Python高危函数）、常见业务场景（如IP探测、文件操作），并详解分隔符（; | &等）和绕过技巧（空格替代、编码变形、环境变量截取等）。针对防御，提出禁用拼接、参数化调用、白名单校验、权限最小化等方案，强调黑名单过滤的局限性。面试考点涵盖与SQL注入区别、Pr

SSRF漏洞深度解析与防御实践 SSRF（服务端请求伪造）作为高危漏洞，利用服务器代理请求功能突破防火墙，实现内网渗透。核心攻击路径为：攻击者提交恶意URL→服务端访问内网资源→回显敏感数据。漏洞常出现在远程图片下载、URL预览等业务场景，涉及Java/PHP/Python的常见HTTP组件。 攻击手段分层递进：1）探测本地服务（如Redis/MySQL）；2）扫描内网C段资产；3）利用Gophe

大模型参数调优是指基于预训练通用模型，使用领域数据进行针对性调整的过程。其核心价值在于提升任务精度（如漏洞识别准确率可从60%提升至95%）、适配安全场景（识别攻击载荷、生成修复方案）以及规避原生风险（降低幻觉、防止越狱）。调优方法分为全参数（效果最好但成本高）、部分参数（折中方案）和高效微调（LoRA等主流技术，成本低且安全可控）。完整流程包括数据准备、参数配置、训练监控、效果验证和安全校验五个