题目描述: 序列化是将一个数据结构或者对象转换为连续的比特位的操作,进而可以将转换后的数据存储在一个文件或者内存中,同时也可以通过网络传输到另一个计算机环境,采取相反方式重构得到原数据。 请设计一个算法来实现二叉树的序列化与反序列化。这里不限定你的序列 / 反序列化算法执行逻辑,你只需要保证一个二叉 ...
分类:
其他好文 时间:
2020-07-12 22:03:01
阅读次数:
64
信息: 题目来源:XCTF 4th-CyberEarth 标签:PHP、源码泄露、SSRF、反序列化、SQL 题目描述:工控云管理系统项目管理页面解析漏洞 解题过程 进入网站后,首先进行目录扫描: [TIME] => 2020-07-08 15:34:39.931717 [TARGET] => ht ...
分类:
其他好文 时间:
2020-07-12 20:37:25
阅读次数:
94
由于最初实现时安全性考虑不足,fastjson为了解决包含接口或抽象类的bean序列化后反序列化将之类型抹去无法拿到原始类型的问题,引入了AutoType,即在序列化的时候,把原始类型记录下来。没想到这带来了后面众多的安全漏洞。因为有了autoType功能,那么fastjson在对JSON字符串进行... ...
分类:
其他好文 时间:
2020-07-12 16:20:51
阅读次数:
47
一、create优化 在serializer序列化中,我们通过创建序列化器对象的方式大大地简化了视图函数的代码,前端传入的数据通过反序列化操作进行了各种数据校验,代码如下: from django.http import JsonResponse from django.views import V ...
分类:
其他好文 时间:
2020-07-11 20:56:57
阅读次数:
69
1.问题现象描述 使用 json.Unmarshal(),反序列化时,出现了科学计数法,参考代码如下: jsonStr := `{"number":1234567}` result := make(map[string]interface{}) err := json.Unmarshal([]byt ...
分类:
Web程序 时间:
2020-07-11 12:36:31
阅读次数:
72
前言 Apache Shiro是一款开源安全框架,提供身份验证、授权、密码学和会话管理。Shiro框架直观、易用,同时也能提供健壮的安全性。 影响版本 Apache Shiro <= 1.2.4 漏洞原理 Apache Shiro 1.2.4及以前版本中,Apache Shiro默认使用了Cooki ...
分类:
Web程序 时间:
2020-07-10 21:14:05
阅读次数:
137
概要: # 1 请求和响应 # 2 请求 Request对象,drf新包装的,Request.data,Request.query_params, 重写了__getattr__, request._request # 3 json模块是否执行反序列化bytes格式 # 4 考你:视图类的方法中:se ...
分类:
其他好文 时间:
2020-07-10 21:00:49
阅读次数:
72
//希望自己能持续的坚持学java 因为看书学java有点枯燥,虽然我没搞清楚状况,但是还是希望做个实验。以下是实验记录。 前提条件 准备一个 漏洞环境,比如vulhub里的fastjson 看精彩的文章比如fnmsd大佬的,看完虽然我没看懂但是我明白了大佬写了个可以回显的poc). 基于请求/响应 ...
分类:
编程语言 时间:
2020-07-10 13:38:53
阅读次数:
108
序列化 对象要想序列化,需要类实现接口 Serializable与Externalizable其中之一 Seializable 类通过实现 java.io.Serializable 接口以启用其序列化功能。未实现此接口的类将无法使其任何状态序列化或反序列化。 可序列化类的所有子类型本身都是可序列化的 ...
分类:
其他好文 时间:
2020-07-10 13:27:06
阅读次数:
67
java使用snakeyaml操作yaml文件进行序列化和反序列化,网上很多案例,load和dump的使用不再重复说,只说我遇到的一些情况。 我在使用dump生成yaml文件时候在第一行总是出现!!,classtype是类型名称,便于load加载生成对象时候做校验,但是我不需要这个,解决如下: 使用 ...
分类:
编程语言 时间:
2020-07-10 13:09:43
阅读次数:
66
