标签:remote

Java

Dubbo源码分析(二)—–基于注解的提供者Exportor过程分析

23

尖兵 发布于 2019-07-20

这是Dubbo官网的服务提供者的时序图 复制代码 此文Dubbo的版本是2.7,1. Dubbo的通过@EnableDubbo来启动Dubbo的初始化配置,主要配置扫描ServiceBean的路径, 还有配置multipleConfig=true, 这个是支持多配置模式(例如: ...

阅读(7)评论(0)赞 (0)

Java

Infinispan 10.0.0.Beta4 发布,分布式缓存集群系统

puefu.he 发布于 2019-07-19

Infinispan 10.0.0.Beta4 发布了,该版本继续完善 Infinispan 10 的新特性。 主要包括: 服务端 体积更小 (36MB vs 130MB) 占用内存更少 (启动只占用 20MB ,之前是 40MB) single-port: Hot Rod,RE...

阅读(8)评论(0)赞 (0)

Java

2019 0ctf final Web Writeup(二)

24

zhuangli 发布于 2019-07-19

前言 接 之前文章 留下的坑,主要分析了java Tapestry的一个从文件读取到反序列化RCE的一个漏洞和ocaml的一个小trick。 hotel booking system 发现Tapestry版本号,同时发现该网站是Tapestry的demo,在github已开源: ...

阅读(11)评论(0)赞 (0)

Java

文件包含漏洞(绕过姿势)

5

changyuan.xu 发布于 2019-07-19

文件包含漏洞是渗透测试过程中用得比较多的一个漏洞,主要用来绕过waf上传木马文件。今日在逛Tools论坛时,发现了一种新型的文件包含姿势,在此记录分享,并附上一些文件包含漏洞的基础利用姿势。 特殊姿势 利用phar://协议特性可以在渗透过程中帮我们绕过一些waf检测,phar:...

阅读(11)评论(0)赞 (0)

Java

Netty classloader死锁问题及解决方案分享

9

puefu.he 发布于 2019-07-17

最近,Telsa-Gateway直销网关在生产部署时发现一个很奇怪的问题。 问题描述如下:部署时,部分节点启动不起来,但日志中无任何报错,程序也始终处于启动状态,而CPU和内存资源都占用特别少。通过工具查看线程堆栈发现,主线程是BLOCKED状态在等待锁资源,但该锁的持有线程状态...

阅读(16)评论(0)赞 (0)

Java

Netty classloader死锁问题及解决方案分享

9

xiaoli.wang 发布于 2019-07-17

最近,Telsa-Gateway直销网关在生产部署时发现一个很奇怪的问题。 问题描述如下:部署时,部分节点启动不起来,但日志中无任何报错,程序也始终处于启动状态,而CPU和内存资源都占用特别少。通过工具查看线程堆栈发现,主线程是BLOCKED状态在等待锁资源,但该锁的持有线程状态...

阅读(14)评论(0)赞 (0)

Java

JakeWharton评价我的代码像是在打地鼠?

6

yeseng 发布于 2019-07-16

不久前 RxJava 正式发布了 3.x 版本,作为 RxJava 的爱好者,笔者第一时间对个人项目进行了 3.x 版本的迁移。 迁移过程中遇到了一个小问题,那就是 RxAndroid 因为没有及时升级,因此内部还是依赖 2.x 版本的 RxJava ,这就导致项目的依赖发生了冲...

阅读(15)评论(0)赞 (0)

Java

浅谈Fastjson RCE漏洞的绕过史

7

小丁 发布于 2019-07-16

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 引言 最近一段时间fastjson一度成为安全圈的热门话题,作为一个是使用十分广泛的jar包,每一次的RCE漏洞都足以博得大众的眼球,关于fastjson每次漏洞...

阅读(28)评论(0)赞 (0)

Java

浅谈Fastjson RCE漏洞的绕过史

7

xiaoli.wang 发布于 2019-07-16

*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 引言 最近一段时间fastjson一度成为安全圈的热门话题,作为一个是使用十分广泛的jar包,每一次的RCE漏洞都足以博得大众的眼球,关于fastjson每次漏洞...

阅读(18)评论(0)赞 (0)

Java

SPRING BATCH remote chunking模式下可同时处理多文件

hellas 发布于 2019-07-16

SPRING BATCH remote chunking模式下,如果要同一时间处理多个文件,按DEMO的默认配置,是会报错的,这是由于多个文件的处理的MASTER方,是用同一个QUEUE名,这样SLAVE中处理多个JOB INSTANCE时,会返回不同的JOB-INSTANCE-...

阅读(14)评论(0)赞 (0)

Java

浅谈中间件漏洞与防护

5

songhua.gao 发布于 2019-07-16

中间件漏洞可以说是最容易被web管理员忽视的漏洞,原因很简单,因为这并不是应用程序代码上存在的漏洞,而是属于一种应用部署环境的配置不当或者使用不当造成的。那么从实际情况来看,预防这种漏洞最大的难点,在于中间件安全该由谁负责? 我们在处理应急响应事件时经常遇到这么一种情况,客户网站...

阅读(17)评论(0)赞 (0)

Java

浅谈struts2漏洞防护与绕过-上

12

changyuan.xu 发布于 2019-07-15

这篇文章的重点不在于分析漏洞,而是通过漏洞去分析struts2沙箱的防护以及绕过,注意本文的struts2的版本范围与漏洞影响的范围是不对应的,只是顺序问题。 然后本文环境是使用的kingkk师傅仓库的 https://github.com/kingkaki/Struts2-Vu...

阅读(24)评论(0)赞 (0)

Java

【进阶JVM高手之路】32个Java虚拟机知识点快速梳理!

6

刘莉莉 发布于 2019-07-15

公众号后台回复“ 学习 ”,获取作者独家秘制精品资料 多年好友心血力作, 阿里资深技术专家 十余年JVM生产实践经验 《从 零 开始带你成为 JVM 实战 高手》 限时优惠: 88元 ( 正在进行ing ) 专栏目录参见文末 扫下方海报进行 试读 通过我的海报购买, 再返你24元...

阅读(20)评论(0)赞 (0)

Java

JAVA反序列化基础

4

xiaoli.he 发布于 2019-07-14

Contents JAVA的序列化和反序列化 Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。把字节序列恢复为对象的过程称为对象的反序列化。 序列化就是把对象的状态信息转换...

阅读(23)评论(0)赞 (0)

Java

巧用SpringBoot优雅解决分布式限流

2

xiaoli.wang 发布于 2019-07-12

SpringBoot 是为了简化  Spring 应用的创建、运行、调试、部署等一系列问题而诞生的产物, 自动装配的特性让我们可以更好的关注业务本身而不是外部的XML配置,我们只需遵循规范,引入相关的依赖就可以轻易的搭建出一个 WEB 工程 本篇从 Spring Boo...

阅读(26)评论(0)赞 (0)

Java

Nacos 1.1.0 发布,支持灰度配置和地址服务器模式

17

likai 发布于 2019-07-12

Nacos 是阿里巴巴开源的配置中心和服务发现产品,开源距今已经超过一年的时间。本次1.1.0的发布,带来了许多重量级的特性更新,包括灰度配置等社区呼声很高的特性,下面会介绍1.1.0版本发布的新特性和每个特性的使用方式。 升级指南 Server 端 0.8.0及以上版本: 1....

阅读(43)评论(0)赞 (0)

Java

2019年上半年Web应用安全报告

9

刘莉莉 发布于 2019-07-12

01 前言 Web应用安全依然是互联网安全的最大威胁来源之一,除了传统的网页和APP,API和各种小程序也 作为新的流量入口快速崛起,更多的流量入口和更易用的调用方式在提高web应用开发效率的同时也带 来了更多和更复杂的安全问题。一方面,传统的SQL注入、XSS、CC攻击等传统攻...

阅读(33)评论(0)赞 (0)

Java

SpringBoot 动态代理|反射|注解|AOP 优化代码(一)-动态代理提供接口默认实现

changyuan.xu 发布于 2019-07-11

一、背景 在项目中需要调用外部接口,由于需要调用不同环境(生产、测试、开发)的相同接口(例如:向生、测试、开发环境的设备下发同一个APP)。 1.生产环境由SpringCloud注册中心,通过Feign调用, 2.其它环境直接通过OKHttp直接通过Url调用。 因此需要根据传入...

阅读(25)评论(0)赞 (0)