目录
0x00 first
0x01 我打我自己之---序列化问题
0x02 [0CTF 2016] piapiapia
0x00 first
前几天joomla爆出个反序列化漏洞,原因是因为对序列化后的字符进行过滤,导致用户可控字符溢出,从而控制序列化内容,配合对象注入导致RCE。刚好今天刷CTF题时遇到了一个类似的场景,感觉很有意思,故有本文。
0x01 我打我自己之---序列化问题
关于序列化是什么就不再赘述了,这里主要讲几个跟安全相关的几个点。
看一个简单的序列化
2019-10-24 16:09
作为一个开发人员,我们在日常工作中肯定会用到 Chrome 浏览器,同时也会用到谷歌的一些插件,比如 Tampermonkey,AdBlock等,在之前的文章本人还用过 Tampermonkey 插件,好使又好玩,传送门 ...
2019-10-24 16:40
1.CAN协议介绍
CAN 是 Controller Area Network 的缩写(以下称为 CAN),是 ISO 国际标准化的串行通信
协议。在当前的汽车产业中,出于对安全性、舒适性、方便性、低公害、低成本的要求,各种
各样的电子控制系统被开发了出来。由于这些系统之间通信所用的数据类型及对可靠性的要求
不尽相同,由多条总线构成的情况很多,线束的数量也随之增加。为适应“减少线束的数量”、
“通过多个 LAN,进行大量数据的高速通信”的需要, 1986 年德国电气商博世公司开发出面
向汽车的 CAN 通信协议。此后, CAN 通过 ISO11898 及 ISO11519 进行了标准化,现在在欧
...
2019-10-24 16:15
观察者模式又被称为发布-订阅模式,是设计模式中的一种行为型模式;...
2019-10-24 16:50
.NET Core 3.0和C# 8.0最激动人心的特性之一就是IAsyncEnumerable(也就是async流)。但它有什么特别之处呢?我们现在可以用它做哪些以前不可能做到的事?
在本文中,我们将了解IAsyncEnumerable要解决哪些挑战,如何在我们自己的应用程序中实现它,以及为什么IAsyncEnumerable将在很多情况下取代Task>。
也许最好的证明IAsyncEnumerable 有用的方式是看看在没有它的时候所面临的的困难。
...
2019-10-24 16:54
MyBaits是一个开源的优秀的持久层框架,SQL语句与代码分离,面向配置的编程,良好支持复杂数据映射,动态SQL;MyBatis 是支持定制化 SQL、存储过程以及高级映射的优秀的持久层框架。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以对配置和原生Map使用简单的 XML 或注解,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。...
2019-10-24 16:23
在过去的大半年中,博主一直在进行人工智能相关知识的自学。由于人工智能最近两年的火热,从网上能够找到非常多的资料,包括:MOOC、博客等,博主也花费了很多的时间从众多的资源中找到了一条“从入门到进阶”的学习之路。在此,博主根据自己的学习体验,将所用到的资料汇总在本片博文中。由于博主目前的研究对象主要是图像,因此在材料选择的过程中会重点关注图像方面的知识,但是博主在下文中所推荐的资料中也涵盖了关于文本、语音处理的内容,读者可以根据自己的需要选择性阅读。
一、入门资料
(1)吴恩达《机器学习》(网易云课堂)
...