Eswlnk
「漏洞预警」关于 apifox 被投毒的风险提示
近期安全监测发现,Apifox 桌面客户端因未启用 sandbox 参数且暴露 Node.js 接口,导致可能被恶意 JavaScript 注入攻击。自3月4日起,部分用户下载的脚本文件被篡改,异常版本加载了非官方域名的恶意脚本,触发后采集主机敏感信息并上报。攻击者可能借此远程控制主机并横向扩展。目前官方未发布修复补丁,建议限制与可疑域名(如 apifox.it.com 等)的网络通信,并通过防火墙和流量监测加强防护。
「日志记录」一次 PowerShell UTF-8 配置脚本翻车排查
本文探讨了在Windows环境下编写PowerShell脚本时常见的中文乱码及编码问题,并详细分析了其原因与解决方案。作者通过编写一个自动初始化Profile的脚本来解决乱码问题,但在执行时遇到了语法错误。经过排查发现,根本原因是脚本文件的编码格式不正确,而非简单的语法错误。
### 核心问题
1. **PowerShell 5.1对UTF-8无BOM的支持不足**:在包含中文、emoji等特殊字符的情况下,PowerShell可能无法正确解析。
2. **源文件编码与输出文件编码不同**:脚本可以输出UTF-8无BOM文件,但源文件不一定适用。### 解决方案
1. **简化输出信息**:将含有emoji和中文的提示信息替换为纯ASCII字符,如`[OK]`和`[INFO]`,以减少编码问题。
2. **更改文件编码**:将`.ps「漏洞资讯」CVE-2025-12914:宝塔面板曝出注入漏洞
近日,宝塔面板被曝出一个新的SQL注入漏洞(CVE-2025-12914),影响11.2.x及以下版本。该漏洞源于数据库权限查询逻辑中参数校验不严,导致用户输入未经处理直接拼接到SQL语句中。然而,由于攻击者需已登录后台或获取API AccessKey,此漏洞的实际风险有限。官方在11.3.0版本中通过参数化查询修复了该问题。建议用户尽快升级至最新版本以消除隐患;若无法立即升级,可采取限制访问IP或启用双重身份验证等临时措施。
「亲测有效」Google Gemini 学生优惠:解决身份验证和支付卡验证
本文介绍了如何免费获取Google Gemini PRO会员。首先准备Google账号和非本地节点,访问Gemini官网并选择学生优惠计划。通过SheerID网站进行验证,使用Telegram机器人辅助完成验证流程。验证成功后刷新页面,选择合适的付款方式(如PayPal、信用卡等)。推荐使用虚拟卡教程中的免费Visa卡或Fiat24借记卡。填写账单地址后完成订阅。提醒用户在一年免费期结束后取消自动续费以避免不必要的扣费。
「学术分享」UrbanX: Physics-Consistent Post-Processing for Regional Forecasting
本文介绍了UrbanX框架,一种用于区域天气预报的物理一致性后处理系统。UrbanX结合ClimaX模型和PASSAT物理引擎,通过Adapter模块实现两者间的协同,确保深度学习的灵活性与物理约束的有效融合。系统提供两种模式:轻量模式采用风场去散、拉普拉斯扩散和平滑裁剪等操作,低成本提升物理一致性;完整PASSAT模式则利用球形图神经网络和流体力学方程迭代,全面增强物理约束。实验基于ERA5数据在北京地区进行6小时步长的预测评估,结果显示该方法显著降低了误差并提升了相关性。未来研究将扩展至更长时间步长和地区范围,并应用于GraphCast和FourCastNet等模型,构建更通用的物理一致性后处理体系。
「日志」IG无缘S15总决赛
今晚,IG在英雄联盟全球总决赛(S15)中以1:3不敌T1,遗憾止步半决赛,无缘总决赛。TS也表达了退役的想法,令粉丝倍感惋惜。比赛中,IG未能与T1战满五局,错失了更多展示实力的机会。此次失利不仅让队伍的梦想破灭,也让许多期待他们继续征战的观众感到失落。
来自谷歌27岁的生日涂鸦
今天,谷歌浏览器显示了一个复古的logo,庆祝其27岁生日。这一特别设计旨在重温谷歌的第一个标志,致敬其初心并鼓励继续探索。用户可以通过谷歌涂鸦馆浏览过去的涂鸦作品。虽然国内的百度尚未推出类似系列,但谷歌此举不仅增添了趣味性,也展示了其发展历程中的重要时刻。
插件分享:新增自助购买卡密功能
博主因第三方发卡平台不可用,决定自建卡密管理系统。采用vite+vue3+shadcn-vue技术栈,并依赖WPCOM插件如Member Pro和Member Pro高级版。通过AI生成代码并调整样式,实现了卡密商城功能。用户可在“卡密管理”菜单中添加分类和卡密,并选择相应模板完成页面配置。体验地址为:[https://blog.eswlnk.com/card-shop](https://blog.eswlnk.com/card-shop)。此外,还提供了卡密商城插件及适配服务的购买链接。
事件记录:国内网络故障情况
2025年8月20日凌晨,国内网络发生大规模故障,核心问题是443端口往海外方向的流量被完全阻断,导致众多国际大公司网站无法访问,包括苹果、微软等。此次故障并非个别现象,而是影响了多个跨国平台的正常运行。由于上层骨干网络封锁,问题难以自行解决,甚至腾讯EdgeOne海外版服务也因此全面中断。此事件凸显了跨境网络依赖带来的潜在风险。
科研记录:ecCodes处理grib文件问题
文章描述了使用`ecCodes`工具将ERA5再分析气象数据从GRIB格式转换为NetCDF4格式时遇到的问题。问题源于不同变量、层级或预报步长共享同一时间戳,导致合并时出现“非唯一字段”错误。具体表现为下载的数据包含额外的时间戳(如`1999-12-31T18:00:00Z`),与预期的`2000-01-01T00:00:00Z`冲突。
为解决此问题,作者建议先使用`grib_copy`工具简单地合并grib文件,避免时间戳冲突,然后通过`grib_to_netcdf`工具处理变量并转换为NetCDF4格式。最终命令为:`grib_copy 2000-2010_step_6.grib 2011-2020_step-6
