gRPC优缺点:优点:protobuf二进制消息,性能好/效率高(空间和时间效率都很不错)proto文件生成目标代码,简单易用序列化反序列化直接对应程序中的数据类,不需要解析后在进行映射(XML,JSON都是这种方式)支持向前兼容(新加字段采用默认值)和向后兼容(忽略新加字段),简化升级支持多种语言 ...
分类:
其他好文 时间:
2020-05-06 13:46:26
阅读次数:
294
信息收集 poc /tmp/payload.cookie 替换发包的rememberMe=X 参考 https://github.com/insightglacier/Shiro_exploit https://github.com/Medicean/VulApps/tree/master/s/sh ...
分类:
其他好文 时间:
2020-05-05 16:20:42
阅读次数:
981
0x01序列化与反序列化 + 序列化:将变量转换为可保存或传输的字符串的过程。 + 反序列化:在适当的的时候把这个字符串再转化成原来的变量使用。 优点: + 存储和传输数据更方便,使程序维护性更高。 函数: serialize,unserialize,json_encode,json_decode, ...
分类:
其他好文 时间:
2020-05-04 19:15:35
阅读次数:
66
0x00 影响版本 Apache Shiro Base64解码 AES解密 反序列化 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。 payload 构造 前16字节的密钥 后面加入序列化参数 AES加密 base64编码 发送cookie 0x02 靶场环境 ...
分类:
其他好文 时间:
2020-05-04 17:14:06
阅读次数:
299
https://www.bilibili.com/video/BV1Ft41187ZX php反序列化原理 php序列化与反序列化基础 序列化与反序列化 序列化:将变量转换为可保存或传输的字符串的过程 反序列化:在适当的时候把这个字符串转化为原来的变量使用 php序列化与反序列化函数 seriali ...
分类:
Web程序 时间:
2020-05-03 21:33:48
阅读次数:
85
这里主要记下querystring模块的使用方法。 querystring从字面上的意思就是查询字符串,一般是对http请求所带的数据进行解析。querystring模块只提供4个方法,在我看来,这4个方法是相对应的。 这4个方法分别是querystring.parse和querystring.st ...
分类:
Web程序 时间:
2020-05-03 14:58:16
阅读次数:
78
题目: 解答: 方法一:回溯 想法: 一个反序中序遍历的方法是通过递归实现。通过调用栈回到之前的节点,我们可以轻松地反序遍历所有节点。 算法: 在递归方法中,我们维护一些递归调用过程中可以访问和修改的全局变量。首先我们判断当前访问的节点是否存在,如果存在就递归右子树,递归回来的时候更新总和和当前点的 ...
分类:
其他好文 时间:
2020-05-03 14:49:24
阅读次数:
53
1 KV结构且K不确定 Example: public static void main(String[] args) { String response = "{\n" + " \"rule\":[\n" + " {\n" + " \"level\":\"info\",\n" + " \"on\" ...
分类:
其他好文 时间:
2020-05-02 11:49:45
阅读次数:
59
前情提要 闲逛至老哥博客文章 "可别在代码中写那么多魔法值了,脑壳疼!" 遂模仿,学习一下 markdown 语法写博客 1. 前言 重构老代码中遇到了不少类似下面这种写法: 脑壳疼!从 Java 语法上无懈可击,但是从业务上却让人无法理解其中 和`1`的含义它们统称为 魔法值 。对于上面的代码我们 ...
分类:
其他好文 时间:
2020-05-01 18:44:11
阅读次数:
75
[安洵杯 2019]easy_serialize_php 学到的知识:extract对session数组的覆盖 反序列化逃逸的方法 1.代码审计 <?php $function = @$_GET['f']; function filter($img){ $filter_arr = array('ph ...
分类:
Web程序 时间:
2020-05-01 18:38:58
阅读次数:
104
