F4de's Studio.

F4de's Studio.

it's better to burn out than to fade away

Python Pickle反序列化安全问题

在python中,相比于存储一个数字或者字符串,如果我们想要存储一个字典、列表或者对象,似乎并没有那么容易。但python和PHP等其他语言一样,也提供了一种序列化和反序列化的方法用来解决这个问题:我们可以把他们“序列化”成一种符合特殊规范的字符串,然后将其存储到一个文件当中。当我们想要获取该元素的时候,可以从文件中读取对应的字符串来进行“反序列化”,再经过某种特定的规范进行某种操作来获取到对应的元素。简单来说,把一个“对象”(或者其他)变成“字符串”的过程,就叫做序列化;把“字符串”翻译成“对象”的过程,叫做反序列化。但是不正确的反序列化会引发一些安全问题。

JDBC学习笔记
JDBC概念:Java Database Connectivity,既Java连接数据库,使用Java语言操作数据库。
绕过CSP的一些方法

以下方法均是我根据几位师傅的文章加自己本地实验之后总结出来的方法,对于某些在本地无法实验或者实验不成功的这里不做记录。

[BJDCTF2020]EzPHP

这道题目知识量巨大,有必要开一篇新文章来记录一下学到的知识点。

初探XXE漏洞攻击
XXE全称为XML外部实体注入。 XML基础XMLXML被设计用来传输和存储数据,注重于数据的内容,把数据从HTML分离,是独立于软件和硬件的信息传输工具。 XML的文档结构XML文档结构...
avatar
F4de
witness me