HOloBlogs

摘要： 今天地下室漏水了，折腾了一天（叹气） 不过准备了点有趣的东西整活，明天发出来。 阅读全文

摘要： 之前流畅的更新（两三天一更），突然断了，我来解释一下原因，顺便聊聊近期更新安排。 首先原因是突然来了深信服的面试，将精力转移到了复习等事情上，结果面试不是技术面试，有点意外，回来后中秋出门较多，也带一点点假期的懒惰吧，就没有再进行跟进。现在回顾一下是因为时间线安排不合理导致，没有给定的量化目标。 所 阅读全文

摘要： 目前深信服123面已经结束，只需要等待offer，目前还没有明确实际的岗位（岗位为安全攻防类别，但工作内容未定。） 接下来会分析一下我本身的技术栈以及面试中的谈论内容。、 自我介绍一下，软件工程专业学生，曾于安恒实习，参加过hw。 开发能力：擅长java，python，c（能进行项目开发） 熟悉c+ 阅读全文

摘要： 不可避免的，我们还是来聊聊反序列化的话题，由于近期的学习是以JAVA为主的，那么我们就以反序列化为例来看看它到底是什么东西。 以下。 是什么，怎么用。 首先，java反序列化就是将对象转化为数字序列的过程，方便数据的存储，这个操作可以使java的对象脱离java平台达到跨平台的效果，提供了数据存储效 阅读全文

摘要： RPC框架。 RPC是远程过程调用的简称，广泛应用在大规模分布式应用中，作用是有助于系统的垂直拆分，使系统更易拓展。Java中的RPC框架比较多，各有特色，广泛使用的有RMI、Hessian、Dubbo等。RPC的特点之一就是能够跨语言。下面我们以java自带的RMI框架为例。 首先要明白，编程中这 阅读全文

摘要： 本文写一点关于蚁剑的流量分析。 一句话木马的原理我在启明面试后续文中已经提到了。 来看看蚁剑的马是什么情况。 我们来逐句分析。 注：文件内容直接取自https://www.cnblogs.com/Lmg66/p/14016869.html @ini_set("display_errors", "0" 阅读全文

摘要： 最近沉迷面试，没有纯技术类文章出产。 本篇用来聊聊在默安面试中，面试官主要提到的sast与iast技术的入门基础。 首先，本文用于简化记录，不用于深入学习，深入学习请参考文中给出的博客或文献。 以下。 先从sast开始。 Iast于sast的目标用户都是开发阶段（或已开发完成）的系统，采用灰盒测试的 阅读全文

摘要： 本文用于介绍在启明一面中与默安面试过程中提到的各类技术。 顺便聊聊面试的技巧以及针对性问题。 首先，在启明我投递的岗位的攻防研究web方向，工作内容以漏洞原理分析，漏洞防御规则落地为主。在默安的岗位为安全研究java方向，工作内容为java语言的漏洞分析，安全防御，漏洞检测，代码审计，本次提到了ia 阅读全文

摘要： 本篇用于接下来的内容预告，也是督促自己写文。 最近忙于学校的事情以及面试，自己学习的内容显著减少，应当提高。 目前通过了默安的实习面试，也通过了深信服的一二面，在等待三面过程中。 接下来会做一些关于面试内容与提到的技术的分析，以及我的技术栈为什么被部分公司嫌弃，却能够有实习机会。 顺便做一些自我介绍 阅读全文

摘要： 本文来说说之前有一篇面试中提到的shiro反序列化问题。 分为以下几部分。 问题点的产生及原理 AES加密 问题点的利用扩大 问题点自动化利用 什么是Shiro以及Shiro的作用 Shiro是一款java的安全框架。作用与会话部分，提供身份验证，会话管理，数据加密，用户认证功能。 问题点的产生及原 阅读全文