看了这篇你就会手写RPC框架了 Java

看了这篇你就会手写RPC框架了

一、学习本文你能学到什么? RPC的概念及运作流程 RPC协议及RPC框架的概念 Netty的基本使用 Java序列化及反序列化技术 Zookeeper的基本使用(注册中心) 自定义注解实现特殊业务逻辑 Java的动态代理 自定义Spring Boot Starter 这里只是列出了你能从RPC框架源码中能学到的东西,本文并不会每个知...
阅读全文
浅谈中间件漏洞与防护 Java

浅谈中间件漏洞与防护

中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的。 那么从实际情况来看,预防这种漏洞最大的难点,在于中间件安全该由谁负责? 我们在处理应急响应事件时经常遇到这么一种情况,客户网站代码是外包的,也就是第三方公司负责开发,而部署可能是由客户内部运维人员负责。暂不说他们对于中间件安全的重...
阅读全文
信息泄漏篇 Java

信息泄漏篇

作者:Ms08067安全实验室核心 cong1984 1、robots.txt泄漏敏感信息 漏洞情况信息: 搜索引擎可以通过robots文件可以获知哪些页面可以爬取,哪些页面不可以爬取。 Robots协议是网站国际互联网界通行的道德规范,其目的是保护网站数据和敏感信息、确保用户个人信息和隐私不被侵犯,如果robots.txt文件编辑的太过详细,反而会泄露网站的敏感目录或者文件,比如...
阅读全文
Apache 架构师总结的 30 条设计原则! 编程技术

Apache 架构师总结的 30 条设计原则!

点击上方“zhisheng”,选择“ 设为星标” 后台回复" 666 ",获取新资源 Srinath|ImportSource 今天把 RPC 框架乞丐版差不多写完了(断断续续写了差不多一个月),下周README写完之后就开源出来。 今天 本来预留有时间写一篇闲文的,关于时间管理的(小伙伴们问的比较多)。我寻思自己...
阅读全文
任意文件读取漏洞的曲折历程 Java

任意文件读取漏洞的曲折历程

前言 这周授权测试了某系统,凭借着一个任意文件读取的漏洞,不断深挖,一波三折,历时将近24小时,也和Tide安全的小伙伴不断讨论,最终拿下目标的webshell。过程简直不要太美、太狗血,在此做个整理。 基本信息 目标:wy.xxx.com.cn(子域名) IP:114.xxx.xxx.xxx(阿里云) web 四大件: java、Apache Tomcat 7.0....
阅读全文
这 6 大方面 30 条原则真不错。 编程技术

这 6 大方面 30 条原则真不错。

点击上方 “ 匠心零度 ” ,选择“ 设为星标 ” 做积极的人,而不是积极废人 文章来源 | https://hackernoon.com/ 作者 |  Srinath Perera ,是一位计算机科学家、软件架构师、作家,他是 apache 的核心成员,拥有 15 年分布式系统编程经验,设计了 Apache Axis2 以及 WSO2 流处...
阅读全文
Fastjson系列三——历史版本补丁绕过(需开启AutoType) 编程技术

Fastjson系列三——历史版本补丁绕过(需开启AutoType)

在1.2.24之后的版本中,使用了checkAutoType()函数,通过黑白名单的方式来防御Fastjson反序列化漏洞,因此后面发现的Fastjson反序列化漏洞都是针对黑名单的绕过来实现攻击利用的。 网上一些文章讲的都是针对1.2.41、1.2.42、1.2.43、1.2.45这些特定版本的补丁绕过,其实实际上并不只是针对该特定版本,而是针对从1.2.25开始的一系列版本,自己试下就知道...
阅读全文
成为一个优秀架构师,你必须了解的 30 条设计原则 编程技术

成为一个优秀架构师,你必须了解的 30 条设计原则

众所周知,架构师的角色,更偏向于策划、而非指挥,塑造、而非支配,其存在的意义,在于引导大家讨论、而非自己主宰一切。 但是,具体应该如何执行呢?本文作者整理了 30 个公认的架构原则,来帮助大家解决此问题。也许有的原则,你从未听说,但你看完就能快速学会。 相信你学会了,工作起来也会事半功倍,或许还可帮你避免很多无用的加班! 本文作者叫 Srinath Perera,是一位计算机...
阅读全文
一次真实axis2渗透测试 编程技术

一次真实axis2渗透测试

一 前言 最近在渗透测试中,遇到一个比较有趣的站,因此来分享一下 二 信息收集 首先通过nmap进行端口扫描,同时通过dirsearch进行目录扫描,dirsearch扫描结果如下。 通过目录扫描发现一些有用的信息 第一 axis2构建的webservice 第二 axis2的后台登录地址(/axis2/axis2-admin/)存在 goo...
阅读全文
WebService传奇故事 这是.Net、Java、C++语言的大战, 也是微软 与 IBM等厂商的PK,于是小白爬坑之路... Java

WebService传奇故事 这是.Net、Java、C++语言的大战, 也是微软 与 IBM等厂商的PK,于是小白爬坑之路...

WebService实战经验分享 说到WebSerivce,会想到很久很久前的SOAP,第一次看到的时候,觉得就一个神马。在.Net环境下使用过,导入WebService,直接使用,似乎也是很实用的一种跨平台跨系统的操作体验。单纯在.net体系,是感受不到WebService的阵痛,在java下,才是WebService爬坑的最佳土壤。这个故事的主题在于java与.net两个平台实...
阅读全文
Loading...