浅析云服务oss/obs/cos对象存储安全攻防

文章目录

  • 前言
  • 云存储服务
    • 1.1 初识对象存储
    • 1.2 腾讯云COS桶
    • 1.3 公开读取风险
  • 对象存储桶风险
    • 2.1 Bucket Object遍历
    • 2.2 Bucket 名称的爆破
    • 2.3 Bucket ACL可读写
    • 2.4 任意写与文件覆盖
    • 2.5 Bucket 域名的接管
  • AccessKey凭证泄露
    • 3.1 行云管家接管主机
    • 3.2 Github泄露AK/SK
    • 3.3 客户端程序泄露SK
    • 3.4 文件上传功能泄露
  • 总结

前言

云服务至今已经发展成为各大企业青睐的部署自家应用服务的选择,云主机在为企业避免了自行搭建物理机房的高昂成本的同时,也提供了更为便捷的服务器运维管理、安全防护服务。这也就使得渗透人员在工作中不得不关注云上服务器的一些攻击面,同时也需要从关注传统的内网物理主机渗透切换到云上服务器的横向渗透。

为了方便理解本文所要重点讲述的云上对象存储服务,先来看看一张关于阿里云企业上云网络架构解决方案图(源自:阿里云企业上云网络架构解决方法):imagepng

本架构方案采用跨可用区部署方式,实现故障恢复和高可用,涉及云产品有阿里云服务器ECS、负载均衡SLB、云数据库RDS、对象存储OSS、Redis、PTS和ARMS。

  1. 云服务器ECS:阿里云明星产品,上云必备;
  2. 负载均衡SLB:SLB用于提高系统高可用性和高并发负载能力的有效手段之一,通过将业务负载分按策略分发到后端多台应用服务器以应对高并发流量给整个系统带来的访问压力同时避免服务器的单点故障引起额业务中断,SLB自身也可以部署在同一地域的不同可用区自身具备高可用属性;
  3. 云数据库RDS:云数据库可以部署在同一地域的不同可用区,实现数据库主备的高可用架构,同时可以根据业务需要开通只读节点,分担主数据库的业务压力,增加应用的吞吐量;
  4. 对象存储OSS:OSS承载静态内容,通过阿里云CDN进行分发,当CDN的缓存未命中时进行OSS回源;
  5. Redis:Redis作为底层数据库的缓存,可以有效降低数据响应时间,提高吞吐量和并发处理能力,降低后端数据库负载,提升整体业务处理性能;
  6. PTS和ARMS:PTS和ARMS组合适合在互联网业务上线前以及应对大促活动等高流量业务前测试业务系统能否达到预期设计性能,找出性能瓶颈。

本文所要讨论的重点是对象存储服务,云上存储己经是企业中常见的一款云上产品,伴随着云上业务的发展,对象存储作为云原生一项重要的能力,暴露出一系列的安全问题,其中的权限配置是管理人员不可忽视的,本文将从攻击者的视角来看几大云存储的攻击方法与利用。

云存储服务

此处先附上 TeamsSix 大佬整理的《攻防矩阵 | 云安全知识库》,梳理了云安全攻防的攻击矩阵,并给出了几大云服务厂商(腾讯云、阿里云、华为云等)的云服务器攻防实践指导。

从该材料中也不难发现,几大云服务厂商的云存储服务存在的攻击面和利用手段基本上是一致的,故本文将只介绍并实践其中一个厂商(腾讯云)的云存储服务功能和攻击面。

1.1 初识对象存储

几大云厂商关于对象存储的概念简称上的一些区别:

云厂商的对象存储简称官方指导文档
阿里云将对象存储(Object Storage Service)简称为 OSS对象存储OSS-阿里云帮助中心
腾讯云将对象存储(Cloud Object Storage)简称为 COS对象存储 产品简介-文档中心-腾讯云
华为云将对象存储(Object Storage Service)简称为 OBS对象存储服务简介-HUAWEI CLOUD

看看阿里云官方文档如何解释对象存储的概念:
imagepng
imagepng
下面摘自华为云对 OBS 服务的架构解释:
imagepng
imagepng
相关概念参见官方文档最为准确,此处不扩展解释。

1.2 腾讯云COS桶

本文的大部分演示将基于腾讯云 COS 云对象存储服务,原因很简单,腾讯云 COS 支持为新人提供 50 G 容量的一年免费体验服务 hh,而阿里云则默认最低购买 1 年 500G 起步的 OSS 服务,价值近 120 元……
imagepng
同时腾讯云 COS 提供了多种服务实例管理方式:
imagepng
进入管理台创建存储桶(Bucket)实例,可以看到腾讯云会为我们的桶实例分配一个相应的域名,同时我们需要设置该存储桶的访问权限:
imagepng
同时提供了版本控制、日志存储等服务:
imagepng
我先默认不勾选上述附加配置项(后续需要还可以在管理台中进行动态修改),直接确认并创建桶:
imagepng
创建完毕即可开始上传我们的文件:
imagepng

1.3 公开读取风险

上传完文件,访问我的 COS 桶域名:https://tr0e-1302654076.cos.ap-guangzhou.myqcloud.com/ 以及 Tr0e.jpg 资源文件,可以看到是无权限访问“Access Denied.”,因为我刚才创建该 COS 桶的时候选择的是“私有读写”模式:
imagepng
imagepng
我们到管理台修改为“公有读私有写”的访问权限控制模式试试,发现提示开启该模式可能导致“外网下行流量费用”:
imagepng
查看指导链接看看这个流量费用是个什么鬼……
imagepng
好家伙,言下之意如果我开启“公有读私有写”的访问权限控制模式,恶意攻击者不仅可以看到我的 COS 桶数据,还能通过下载桶里面的对象文件来造成我的流量计费导致资金损失……

此处为了学习用,继续确认并开启“公有读私有写”的访问权限控制模式:imagepng
imagepng
然后便可以在公网正常访问到 COS 桶里面的资源文件:
imagepng
但是访问 COS 桶域名:https://tr0e-1302654076.cos.ap-guangzhou.myqcloud.com/ 的话依旧是拒绝访问状态(除非进一步配置 Policy 策略放开资源对象列表,否则访问 COS 桶域名将不会回显桶中资源信息,下文会进一步演示):
imagepng
从上面可以看到,如果运维人员错误地开放了 COS 桶的权限控制权限,那么将把 COS 桶中的文件暴露在公网之中,如果这是企业私密的资源文件(比如客户的身份证证件等),那么将产生严重的安全风险。

但是整体来说,腾讯云对于此高危操作的风控策略还是可以的,不仅用明显的告警信息告知用户可能造成的安全风险和资金损失,同时在开启此不安全配置的同时进行了扫码或短信验证的二次确认。

注意】需要特别说明的是,也并非所有的 COS 桶都是设置为私有模式,比如有些 COS 桶就被企业正常用于静态网站资源的托管(完整指导文档可以参见:对象存储 托管静态网站-开发者指南-文档中心-腾讯云):
imagepng
imagepng

对象存储桶风险

当腾讯云 COS 收到资源文件请求时,首先会确认请求者身份,并验证请求者是否拥有相关权限,验证的过程包括检查用户组策略、存储桶访问策略(Policy)和存储桶访问控制列表(ACL),对请求进行鉴权。

但是如果管理员进行了错误的访问控制配置,或者存在相关访问控制凭证信息泄露,将导致整个 COS 桶的资源文件存在暴露给攻击者的风险,下面来看看都有哪几类核心威胁。

2.1 Bucket Object遍历

如果运维人员在给 COS 桶开启“公有读私有写”的访问权限控制模式的同时,添加 Policy 策略允许“读操作(含列出对象列表)”的话,那么将允许访问 COS 桶域名的时候列举出该桶所有对象信息:
imagepng
imagepng
imagepng
此时重新访问 COS 桶公网域名,将看到所有资源文件对象的信息:
imagepng
通过获取的 Key 值,可以遍历访问、下载桶中的所有资源文件:
imagepng
故运维人员轻易不要在给 COS 桶开启“公有读私有写”的访问权限控制模式的同时,添加 Policy 策略允许“读操作(含列出对象列表)”。

2.2 Bucket 名称的爆破

总结一下,对于 https://tr0e-1302654076.cos.ap-guangzhou.myqcloud.com/666.jpg:

  1. Bucket 名称为:tr0e-1302654076;
  2. 所访问的资源对象的 Key 为:666.jpg;

当我们访问的 COS 存储桶地址(比如 Bucket 名称)不存在时,返回的 Message 为 “NoSuchBucket”:
imagepng
当输入的 COS 存储桶地址格式不正确时,返回的 Message 为 “InvalidRequest”(表示存储桶的名称不符合规范,属于无效的存储桶名称):
imagepng
这样通过返回内容的不同,就可以进行 Bucket 名称爆破了,知道 Bucket 名称后,Key 的爆破也就很容易了。

2.3 Bucket ACL可读写

在上面“Bucket Object 遍历”章节中实际上也可以看到,添加 Policy 策略的时候,添加的策略还可以包括如下诸多选项:
imagepng
imagepng
我们添加 ACL 读权限和 ACL 写权限,然后访问 /?acl (URI 可参见官方接口说明文档:对象存储 GET Bucket acl-API 文档-腾讯云) 即可看到当前的 ACL 策略:
imagepng
查看官方说明文档(对象存储 ACL 访问控制实践-文档中心-腾讯云)可知 FULL_CONTROL 代表的含义:
imagepng
也就是意味着当前 ACL 策略是所有人都能对存储桶和对象进行任意操作,此时存储桶是设置为私有读写状态的:
imagepng但是由于 ACL 策略开放为任意人可以读写,那么我可以借助修改 ACL 的 API 接口给 Bucket 添加访问策略(URI 可参见官方接口说明文档:对象存储 PUT Bucket acl-API 文档-文档中心-腾讯云),将“私有读写”模式改写为“公开读私有写”,如下:

PUT /?acl HTTP/1.1
Host: tr0e-1302654076.cos.ap-guangzhou.myqcloud.com
x-cos-acl: public-read
Cache-Control: max-age=0
Sec-Ch-Ua: "Not_A Brand";v="8", "Chromium";v="120", "Google Chrome";v="120"
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: "Windows"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close

imagepng
此时再访问 Bucket 对应 Object 地址,即可读取到所存储对象的信息:
imagepng
同时到管理台中也可以看到存储桶的访问权限被改写了:
imagepng
值得注意的是,通过这种方法修改 Bucket 访问规则并不像在管理台手动修改桶配置一样需要要求用户进行二次安全验证,故此未授权篡改 ACL 规则漏洞的危害更为巨大。同时攻击者也可以修改修改访问策略,比如将 Bucket 的“公开读”访问控制规则(前面已经提到了对于部分业务需要将 Bucket 作为静态网站资源开放到公网) 修改为“私有读写”,来实现拒绝服务攻击。

由此可见,管理人员在对 Bucket 进行策略配置管理的时候一定要小心谨慎配置 ACL 管理规则,不能错误地将 Bucket 桶的权限管理能力公开暴露给任意访问者。

2.4 任意写与文件覆盖

由于 Bucket 不支持 Object 重复命名,所以当匿名用户拥有写入权限时,通过 PUT 请求可上传和覆盖原有任意文件。
imagepng

PUT /666.jpg HTTP/1.1
Host: tr0e-1302654076.cos.ap-guangzhou.myqcloud.com
Cache-Control: max-age=0
Sec-Ch-Ua: "Not_A Brand";v="8", "Chromium";v="120", "Google Chrome";v="120"
Sec-Ch-Ua-Mobile: ?0
Sec-Ch-Ua-Platform: "Windows"
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Sec-Fetch-Site: none
Sec-Fetch-Mode: navigate
Sec-Fetch-User: ?1
Sec-Fetch-Dest: document
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Connection: close
Content-Length: 12Tr0e66666666

imagepng
此时原有的 666.jpg 图片便被覆盖了:
imagepng
imagepng
奇安信安全社区有篇文章《奇安信攻防社区-实战阿里云OSS云攻防》分享了一个 OSS 桶任意写导致文件覆盖的实战案例,有意思的是作者发现该 Bucket 地址与目标站点一个静态资源网址存在映射关联关系,覆写桶数据会影响到相应静态资源网页的数据,故给出了如下攻击利用链路:
imagepng

2.5 Bucket 域名的接管

这部分参见文章:《云安全|子域名接管漏洞 | 霜刃安全》和 《阿里云 OSS 对象存储攻防 | 云安全知识库 》

子域名接管漏洞,简单来说通过该漏洞可以接管目标子域名,让其显示攻击者设置的页面,主要用于网络钓鱼。如伪造钓鱼页面,还可以利用其盗取 Cookie,伪造电子邮件等。

其大致攻击场景为:

  1. 受害者曾经为目标域名设置了 cname 记录(别名记录,该记录允许将多个域名映射到同一个域名,常用于 CDN),比如设置了 a.aliyun.com 指向 b.oss-cn-aliyuncs.com;
  2. 那么当受害者使用完 b.oss-cn-aliyuncs.com 这个网站后,将域名删除,但是忘记了删除 a.aliyun.com 这个 cname 记录;
  3. 那么此时 a.aliyun.com 仍会解析到 b.oss-cn-aliyuncs.com,但是 b.oss-cn-aliyuncs.com 已经被删除了,那么此时便可以申请一个域名 b.oss-cn-aliyuncs.com,放上恶意文件,这样就成功接管了 a.aliyun.com 这个域名。

可能会出现这种漏洞的网站有很多,如常见的 Github(也就是github.io)、常见的 OSS/COS/OBS 对象存储平台等。我们可以使用 subtake 工具(https://github.com/jakejarvis/subtake)来快速的检查多种网站是否存在子域名接管漏洞。

腾讯云 COS 不存在存储桶域名接管

Bucket 域名接管就是由于管理人员未删除指向该服务的 DNS 记录,攻击者通过创建同名 Bucket 进而让受害域名解析到攻击者所指向的网站域名所造成的,这其中的关键点在于攻击者是否可创建同名 Bucket,腾讯云有特定的存储桶命名格式,即:
<BucketName-APPID>.cos.<Region>.myqcloud.com
而 appid 是在控制台用时间戳随机生成的,因此无法创建同名 Bucket,故腾讯云不存在 Bucket 接管问题:

但是腾讯云是提供 COS 桶域名的自定义映射的:对象存储开启自定义 CDN 加速域名-文档中心-腾讯云。

阿里云 OSS 存在存储桶域名接管】

在阿里云下,当 Bucket 显示 NoSuchBucket 说明是可以接管的,如果显示 AccessDenied 则不行。
假设有以下一种情况,管理员通过域名解析并绑定了一个存储桶,但是管理员将存储桶删除后,没有将域名解析的 CNAME 删除,这时会访问域名就会出现上面的情况,NoSuchBucket

首先发现一个报错页面(比如 abc.aliyun.com),在报错页面发现了 HostId 和 BucketName 两个字段,并且通过这两个字段我们知道他是使用阿里云对象存储提供服务的,并且给了 OSS 存储对象的名称。然后我们进入自己的阿里云,进入 OSS 存储对象,创建一个新的 Bucket,这里 Bucket 名称选择我们刚刚从报错页面中得到的 HostId 字段,注意下面的地区,我们在 HostID 或 URL 中可以得到关于地区的信息,要选择相同的地区。
然后将权限设置为公共读写:

此时我们便完成了对子域名的接管,我们尝试上传一个文件试试:

可以看到已经成功访问到了我们上传的 a.txt:
imagepng
进一步地也就可以借助我们申请到的 Buncket 域名对受害域名(如 abc.aliyun.com) 进行钓鱼攻击。

最后补充一篇 SRC 文章:《【SRC挖洞经验】Amazon S3 Bucket桶接管教程》,介绍了 Amazon 云的对象存储 Bucket 桶接管的案例,赏金说是国外 100-1000 美金,还是相对有实际价值的漏洞。

AccessKey凭证泄露

几乎所有云厂商的云主机都支持通过使用 AccessKeyId、SecretAccessKey 加密的方法来验证某个请求的发送者身份。AccessKeyId(AK)用于标示用户,SecretAccessKey(SK)用于用户加密认证字符串和云厂商用来验证认证字符串的密钥,其中 SK 必须保密。

AK/SK 鉴权机制使用对称加解密。云主机接收到用户的请求后,系统将使用 AK 对应的相同的 SK 和同样的认证机制生成认证字符串(基于HMAC 算法对签名字符串进行加密后产生),并与用户请求中包含的认证字符串进行比对。如果认证字符串相同,系统认为用户拥有指定的操作权限,并执行相关操作;如果认证字符串不同,系统将忽略该操作并返回错误码。

因此如果目标的 AccessKeyId、SecretAccessKey 泄露,那么就能伪造用户身份接管云主机,获取到目标对象存储的所有权限。这其实也是对象存储桶的安全风险之一,本文将其作为一个独立的章节进行阐述是因为此类凭证信息泄露的渠道较多,同时在实战中较为常见且危害巨大。

3.1 行云管家接管主机

腾讯云 AK/SK 申请地址:腾讯云-API密钥管理,API 密钥代表用户的账号身份和所拥有的权限,使用腾讯云 API 可以操作用户名下的所有腾讯云资源,腾讯云给了很贴心的安全风险提示:
imagepng
imagepng

为了避免用户使用固定时密钥密钥泄露带来的安全风险,腾讯云引入了临时密钥来替换固定密钥,具体可参见:对象存储 临时密钥生成及使用指引-最佳实践-文档中心-腾讯云、云环境下密钥泄露导致的安全问题。

在获得用户在某云厂商的 AK、SK 的情况下,可以通过行云管家导入云主机并进行主机管理(包括主机登录密码修改),网站地址:https://yun.cloudbility.com/:
imagepng
imagepng
可进行的主机管理操作:
imagepng
另外如果是腾讯云的 AccessKey,也可以使用腾讯云云主机接管平台来接管主机:https://cosbrowser.cloud.tencent.com/web/bucket
imagepng

3.2 Github泄露AK/SK

imagepng
imagepng
imagepng

3.3 客户端程序泄露SK

1、各类 APP 或小程序反编译的资源文件配置
imagepng
2、各类网站的前端 JS 代码信息泄露
imagepng
可以借助 Chrome 浏览器的插件自动寻找:Trufflehog
imagepng
访问某网站,使用插件 Trufflehog 探测,会在 Findings 位置显示是否有密钥泄露:
imagepng

3.4 文件上传功能泄露

渗透测试过程中可以多关注上传图片、下载文件、查看图片等等位置,说不定就有 AK、SK 泄露。

1、 比如在文件上传点,有时候抓包就直接泄露 SK 信息:imagepng
2、某小程序打开后在个人中心头像位置:
imagepng
点击头像抓包,可以看到 accessKeyId、acesskeySecret 泄露:
imagepng

总结

本文算是记录云安全学习的第一篇文章,主要学习了云储存服务的基础使用,实践掌握了 Bucket 对象存储服务错误配置带来的的安全风险,并重点分析了云主机 AccessKeySecret 认证凭据泄露所带来的风险。

各大云厂商的对象存储服务的攻防手段大同小异,完整的指导教程可参见 TeamsSix 大佬整理的《攻防矩阵 | 云安全知识库》,总结了全球六大云服务厂商的攻防知识,tql!

最后附上火线安全在 《云安全知识库》 提供的一张云服务攻防矩阵图最为本文结尾吧:
在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/637516.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Chatgpt+Comfyui绘图源码说明及本地部署文档

其他文档地址&#xff1a; ChatgptComfyui绘图源码运营文档 ChatgptComfyui绘图源码线上部署文档 一、源码说明 1、源码目录说明 app_home&#xff1a;app官网源码chatgpt-java&#xff1a;管理后台服务端源码、用户端的服务端源码chatgpt-pc&#xff1a;电脑网页前端源码cha…

两条链表相同位数相加[中等]

优质博文IT-BLOG-CN 一、题目 给你两个非空的链表&#xff0c;表示两个非负的整数。它们每位数字都是按照逆序的方式存储的&#xff0c;并且每个节点只能存储一位数字。请你将两个数相加&#xff0c;并以相同形式返回一个表示和的链表。你可以假设除了数字0之外&#xff0c;这…

【征服Redis12】redis的主从复制问题

从现在开始&#xff0c;我们来讨论redis集群的问题&#xff0c;在前面我们介绍了RDB和AOF两种同步机制&#xff0c;那你是否考虑过这两个机制有什么用呢&#xff1f;其中的一个重要作用就是为了集群同步设计的。 Redis是一个高性能的键值存储系统&#xff0c;广泛应用于Web应用…

【React】Redux的使用详解

文章目录 Redux的三大原则Redux官方图react-redux使用 1、创建store管理全局状态​ 2、在项目index.js根节点引用 3、 在需要使用redux的页面或者组件中&#xff0c;通过connect高阶组件映射到该组件的props中 redux中异步操作如何使用redux-thunkcombineReducers函数 Re…

数据结构和算法笔记4:排序算法-归并排序

归并排序算法完全遵循分治模式。直观上其操作如下&#xff1a; 分解&#xff1a;分解待排序的n个元素的序列成各具n/2个元素的两个子序列。解决&#xff1a;使用归并排序递归地排序两个子序列。合并&#xff1a;合并两个已排序的子序列以产生已排序的答案。 我们直接来看例子…

Flutter 与 Android原生 相互通信:BasicMessageChannel、MethodChannel、EventChannel

前言 本文主要讲解&#xff0c;使用不同的 Channel 让 Flutter 和 Android原生 进行通信&#xff0c;由于只是讲解两端通信&#xff0c;所以可视化效果不好&#xff1b; 不过我写了一篇专门讲解 Flutter 嵌入 Android原生View的文章 Flutter 页面嵌入 Android原生 View-CSDN…

小程序使用echarts图表-雷达图

本文介绍下小程序中如何使用echarts 如果是通过npm安装&#xff0c;这样是全部安装的&#xff0c;体积有点大 我这边是使用echarts中的一个组件来实现的&#xff0c;下边是具体流程&#xff0c;实际效果是没有外边的红色边框的&#xff0c;加红色边框的效果是这篇说明 1.echa…

IDEA的database使用

一、数据据库 在使用database之前&#xff0c;首先你的电脑要安装好了数据库并且启动。 MySQL卸载手册 链接&#xff1a;https://pan.baidu.com/doc/share/AVXW5SG6T76puBOWnPegmw-602323264797863 提取码&#xff1a;hlgf MySQL安装图解 链接&#xff1a;https://pan.baidu.…

机器学习笔记——机器学习的分类

1 机器学习是啥 机器学习是人工智能的一个分支&#xff0c;它是一门研究机器获取新知识和新技能&#xff0c;并识别现有知识的学问。 机器学习已广泛应用于数据挖掘、计算机视觉、自然语言处理、生物特征识别、搜索引擎、医学诊断、检测信用卡欺诈、证券市场分析、DNA 序列测…

用Python实现Excel中的Vlookup功能

目录 一、引言 二、准备工作 三、实现Vlookup功能 1、导入pandas库 2、准备数据 3、实现Vlookup功能 4、处理结果 5、保存结果 四、完整代码示例 五、注意事项 六、总结 一、引言 在Excel中&#xff0c;Vlookup是一个非常实用的函数&#xff0c;它可以帮助我们在表…

Web概述

Web 概述&#xff1a;Web是World Wide Web的简称&#xff0c;是一个由许多互联网服务组成的信息空间。它由超文本文档、图像、视频和其他多媒体资源组成&#xff0c;并通过超文本传输协议&#xff08;HTTP&#xff09;进行传输。特点&#xff1a;Web的主要特点是其开放性和可访…

java数据结构与算法刷题-----LeetCode485. 最大连续 1 的个数

java数据结构与算法刷题目录&#xff08;剑指Offer、LeetCode、ACM&#xff09;-----主目录-----持续更新(进不去说明我没写完)&#xff1a;https://blog.csdn.net/grd_java/article/details/123063846 文章目录 1. 法一&#xff0c;双指针2. 法二&#xff1a;变量计数 1. 法一…

面对不平衡二元分类问题是否需要使用SMOTE技术?

摘要 在训练分类模型之前平衡数据是解决表格数据中不平衡二元分类任务的流行技术。平衡通常是通过复制少数样本或生成合成少数样本来实现的。虽然众所周知&#xff0c;平衡对每个分类模型的影响不同&#xff0c;但大多数先进的实证研究并未将强大的最先进&#xff08;SOTA&…

Qt6入门教程 8:信号和槽机制(连接方式)

目录 一.一个信号与槽连接的例子 二.第五个参数 1.Qt::AutoConnection 2.Qt::DirectConnection 3.Qt::QueuedConnection 4.Qt::BlockingQueuedConnection 5.Qt::UniqueConnection 三.信号 四.connect函数原型 五.信号与槽的多种用法 六.槽的属性 一.一个信号与槽连接…

R语言【cli】——builtin_theme():内置的CLI主题

Package cli version 3.6.0 Description 此主题始终处于活动状态&#xff0c;并且位于主题堆栈的底部。 Usage builtin_theme(dark getOption("cli.theme_dark", "auto")) Argument 参数【dark】&#xff1a;是否使用黑暗主题。cli.theme_dark选项可用…

3d渲染软件有哪些?3d云渲染推荐

目前市面上的3D渲染软件非常多&#xff0c;不同的建模软件都有自己的渲染方式&#xff0c;根据所处行业的不同和项目需要&#xff0c;设计师可以选择不同的软件帮助展示最终效果。 主流的渲染软件有&#xff1a;VRay和Corona&#xff1a;一般用于室内效果图渲染&#xff0c;与3…

go 语言爬虫库goquery介绍

文章目录 爬虫介绍goquery介绍利用NewDocumentFromReader方法获取主页信息Document介绍通过查询获取文章信息css选择器介绍goquery中的选择器获取主页中的文章链接 爬取总结 爬虫介绍 爬虫&#xff0c;又称网页抓取、网络蜘蛛或网络爬虫&#xff0c;是一种自动浏览互联网并从网…

chapter10-让你拥有“火眼金睛”的 Fiddr4 和其他工具

在前面的课程中&#xff0c;我们通过一个简单的天气预报服务&#xff0c;拓展了如何使用邮件、短信&#xff0c;以及部署在服务器上&#xff0c;完整的开发了一款可以正式使用的小程序。但是有的同学可能也会产生抱怨&#xff1a;这门课不是是爬虫入门吗&#xff1f;为什么讲的…

如何在Servlet中获取请求参数的值

看看这个大佬做的动图吧&#xff01; 在Servlet中&#xff0c;你可以使用HttpServletRequest对象来获取请求参数的值。HttpServletRequest对象提供了一些方法&#xff0c;允许你访问从客户端发送的请求信息。以下是一些获取请求参数的常用方法&#xff1a; getParameter(String…

node.js项目express的初始化

目录 1.初始化项目2.配置跨域3.开始编写API3.1准备3.2路由处理函数router_make下的user.js3.3路由模块router下的user.js3.4入口文件app.js里面去新增这段代码3.5启动项目进行测试 &#x1f44d; 点赞&#xff0c;你的认可是我创作的动力&#xff01; ⭐️ 收藏&#xff0c;你…