芜湖,Java 安全终于开篇辣,学习了这个然后学 CommonCollections 一系列利用链。
我们目的是通过file_get_content()读取敏感文件,通过提示在phpinfo中发现可疑文件
本文翻译自:https://www.baeldung.com/jackson-linkedhashmap-cannot-be-cast
使用dubbo框架在进行rpc调用的时候,出现了下面的问题,原因是因为接口参数中的NoSerialReqDto类没有实现Serializable接口,没有进行序列化导致的。
因为业务需求的需要,我们需要在原来项目中的一个DTO类中新增两个字段(我们项目使用的是dubbo架构,这个DTO在A项目/服务的domain包中,会被其他的项目如B、C、D引用到)。但是这个DTO对象已经在Redis缓存中存在了,如果我们直接...
2.String对象的反序列化问题,直接在Redis服务器上新增一个key-value,而后在代码中get(key)时,报反序列化失败。
我们都知道一个对象只要实现了Serilizable接口,这个对象就可以被序列化,java的这种序列化模式为开发者提供了很多便利,我们可以不必关系具体序列化的过程,只要这个类实现了Serilizable接口,这个类的所有属性和方法都会自动...
打开 config.php ,出现 awn…猜想 flag 在 config.php 中,并且有访问限制,构造 ssrf 进行访问,然而还是啥都没有,与外网直接访问的界面一样
一个简单的反序列化题。注意到一个魔术方法 __toString(),当 echo $obj; 时会自动调用。第三行的 include 'flag.php'; 想必 flag 就在这个文件里了。
原题网址<?phpclass Time{ public $flag = xxxxx; public $truepassword = xxxxx; public $time;