1. 文件远程传输主要涉及3点: 请求方式, 媒体类型, 序列化与反序列化, 把握住了这3点,基本上就可以搞 2. 使用Feign传输,首先搭建起Feign的架子 2.1 引入spring-cloud-starter-eureka-server依赖,用于启动一个eureka注册中心 2.2 引入sp ...
分类:
编程语言 时间:
2020-08-28 12:03:04
阅读次数:
91
Fastjson反序列化漏洞利用分析 ? 背景 在推动Fastjson组件升级的过程中遇到一些问题,为帮助业务同学理解漏洞危害,下文将从整体上对其漏洞原理及利用方式做归纳总结,主要是一些概述性和原理上的东西。 漏洞原理 多个版本的Fastjson组件在反序列化不可信数据时会导致代码执行。究其原因,首 ...
分类:
Web程序 时间:
2020-08-26 18:53:19
阅读次数:
76
这次是之二:实例化对象、接口与父类、修饰符和属性。实例化对象之前我们讲解过创建对象的方式,有new、克隆、反序列化,再加一种,根据Class对象,使用newInstance()或者构造器实例化对象。调用以下api即可//获取源头Class<?>clz=Class.forName("com.shsxt.ref.simple.User");//第一种:通过newInstance()创建对象
分类:
编程语言 时间:
2020-08-26 17:14:20
阅读次数:
58
1.前言在Java开发中我们为了避免过多的魔法值,使用枚举类来封装一些静态的状态代码。但是在将这些枚举的意思正确而全面的返回给前端却并不是那么顺利,我们通常会使用Jackson类库序列化对象为JSON,今天就来讲一个关于使用Jackson序列化枚举的通用性技巧。2.通用枚举范式为了便于统一处理和规范统一的风格,建议指定一个统一的抽象接口,例如:/***TheinterfaceEnumerator.
分类:
编程语言 时间:
2020-08-24 16:44:06
阅读次数:
52
前两天上课听玄姐说pb,对于我这个菜鸡来说,这玩意都没有听说过,只能先补充一下基础支持了1.protobut简介1.protobut介绍ProtocolBuffers(简称protobuf),protobuf是google提供的一个开源序列化框架,类似于XML,JSON这样的数据表示语言,其最大的特点是基于二进制,因此比传统的XML表示高效短小得多。虽然是二进制数据格式,但并没有因此变得复杂,开发
分类:
其他好文 时间:
2020-08-20 18:28:36
阅读次数:
61
这篇文章主要总结学习目前网上关于1.2.68下绕过Autotype的一些方法用到的思路。 前置知识: checkautotype因为是对要进行反序列化的类进行检测的方法 所以我们只需要让其返回Class类型的实例即可 一般会有以下几种情况通过验证: 1.autoTypeCheckHandlers不为 ...
分类:
Web程序 时间:
2020-08-15 22:35:25
阅读次数:
93
数据预处理 在正式处理数据之前对收集的数据进行预先处理的操作。 原因:不管通过何种手段收集的数据 往往是不利于直接分析的 数据中存在的格式规整的差异。 目的:把不干净的数据 格式不规则的数据 通过预处理清洗变成格式统一规整的结构化数据 技术:MapReduce 预处理的编程思路问题 在使用mr编程的 ...
分类:
Web程序 时间:
2020-08-10 17:26:02
阅读次数:
80
Dubbo Provider默认反序列漏洞(CVE-2020-1948) Dubbo Provider有4种方式:XML配置,properties方式配置,API调用方式配置,注解方式配置 前置条件: NettyServer(默认端口:12345) 端口对外开放 补丁 https://github. ...
分类:
编程语言 时间:
2020-08-07 12:37:25
阅读次数:
98
生产上有时需要根据指定内容查找相关文件,比如FastJson反序列化漏洞,通过‘FastJson‘关键字查找有无对应文件,如果有则进行整改。
分类:
其他好文 时间:
2020-08-07 10:05:59
阅读次数:
78
生产上有时需要根据指定内容查找相关文件,比如FastJson反序列化漏洞,通过‘FastJson‘关键字查找有无对应文件,如果有则进行整改。
分类:
其他好文 时间:
2020-08-07 10:05:43
阅读次数:
69
