4ra1n 最近的时间轴更新 4ra1n 最近的时间轴更新 |
4ra1n🏢 安全工程师 V2EX 第 674492 号会员,加入于 2024-02-02 11:44:15 +08:00今日活跃度排名 256658
 93  |
github.com/4ra1n
| 车挡风玻璃裂开了还能继续开吗? 汽车 • 4ra1n • 2025 年 2 月 7 日 • 最后回复来自 kokerkov | 18 |
| 有没有什么思路对 Fat Jar 进行瘦身 Java • 4ra1n • 2025 年 3 月 29 日 • 最后回复来自 nieyuanhong | 17 |
| 分享下花了一段时间开发的 Java 字节码混淆加密工具 分享创造 • 4ra1n • 2024 年 12 月 10 日 • 最后回复来自 kapaseker | 7 |
| 分享一个自娱自乐造的中文脚本语言 分享创造 • 4ra1n • 2024 年 6 月 19 日 • 最后回复来自 4ra1n | 4 |
| 摸鱼写的 Java 随机数相关工具 程序员 • 4ra1n • 2024 年 6 月 13 日 |
4ra1n 最近回复了
11 天前 回复了 lynan 创建的主题 › 旅行 › 樱花季去了一趟日本关东地区旅行,分享游记 |
不错,拍的好看,一直想樱花季去一次日本,奈何长假都在五一和十一
2025 年 10 月 21 日 回复了 meihuanyu88x 创建的主题 › 生活 › 很多人买车的理由,其实挺模糊的 |
我不后悔,花了所有的钱,买了一辆跑车。
因为带给我的情绪价值。
因为带给我的情绪价值。
2025 年 9 月 9 日 回复了 moverinfo 创建的主题 › 程序员 › 发现大多数的 Java 项目, JSON 已经是一个十分常用的格式。写了一个十分精简的解析器。 |
fastjson 有漏洞是因为反序列化太自由了,拓展性太强了
如果,你只允许,json 反序列化到 hashmap arraylist 自己从 hashmap 里一个个的 get k/v 设置 entity 属性,没有漏洞。fastjson 是允许自动反序列化到指定的 entity/pojo 类,而不是从 hashmap 手动搞过去,自动导致的漏洞。
漏洞的核心是,自动类型推断和实例化,自动调用 getter/setter
如果,你只允许,json 反序列化到 hashmap arraylist 自己从 hashmap 里一个个的 get k/v 设置 entity 属性,没有漏洞。fastjson 是允许自动反序列化到指定的 entity/pojo 类,而不是从 hashmap 手动搞过去,自动导致的漏洞。
漏洞的核心是,自动类型推断和实例化,自动调用 getter/setter
2025 年 8 月 13 日 回复了 MrJie 创建的主题 › 游戏 › 问一个冷门问题,大家可以接受给自己在玩的游戏氪多少钱? |
上学时候几乎所有零花钱全氪,工作之后,几百以内
2025 年 8 月 11 日 回复了 iflyapi 创建的主题 › 上海 › 迷茫了,要不要离开一线城市?恳求各位给点建议吧 |
来杭州临安吧,房价 1w 多,快速路+高速到余杭阿里总部半小时内,不堵车。
2025 年 7 月 8 日 回复了 karnaugh 创建的主题 › 程序员 › 程序员,还在幻想那个开源乌托邦吗 |
我做开源两个目的:
1. 我花时间精力,做了一些东西,我不想让这些技术成果埋没
2. 我的实力有限,思维定格,需要 github 上更多其他行业的开发大佬,一起完善
做开源几年我发现,只要我不图赚钱,完全开放代码,完善的文档,那么会有同样用爱发电的大佬愿意贡献
1. 我花时间精力,做了一些东西,我不想让这些技术成果埋没
2. 我的实力有限,思维定格,需要 github 上更多其他行业的开发大佬,一起完善
做开源几年我发现,只要我不图赚钱,完全开放代码,完善的文档,那么会有同样用爱发电的大佬愿意贡献
Select Language