Spring IOC学习Spring IOC这里需要注意的是，IOC和Spring IOC不能混为一谈，IOC是一种概念和设计思路，Spring实现了IOC的思想，是IOC的实践。 我们通常提到的Spring IOC，实际上是指Spr...

Tomcat几种回显文件描述符回显00theway师傅的思路 https://www.00theway.org/2020/01/17/java-god-s-eye/ 在LINUX环境下，可以通过文件描述符”/proc/self/fd/...

《深入理解java虚拟机》读书笔记1-类文件结构最近在看周志明老师写的《深入理解java虚拟机》，学到了很多，也有很多没理解的地方，觉得需要做读书笔记。 无关性基石java虚拟机不与包括java语言在内的任何程序语言绑定，直至今日，商...

Tomcat学习tomcat结构图 两个核心组件ConnectorConnector 连接器 Connector组件是负责生成请求对象和响应对象的，Tomcat默认的是HttpConnector，负责根据收到的Http请求报文生成...

jndi加载本地class绕过高版本限制前言两个月前做[NPUCTF2020]EzShiro的时候遇到过，是一个jackson的反序列化，但题目的jdk版本过高导致无法远程加载恶意class，所以得加载本地class。 当时用的是ys...

weblogic-CVE-2017-10271环境搭建关于weblogic环境搭建，非常推荐qax的一个工具 https://github.com/QAX-A-Team/WeblogicEnvironment CVE-2017-102...

Express+lodash+ejs原型链污染RCElodash.defaultsDeep 方法造成的原型链污染（CVE-2019-10744）2019 年 7 月 2 日，Snyk 发布了一个高严重性原型污染安全漏洞（CVE-201...

CVE-2022-21824这次Dice2022和vnctf2022都出了过相关的题目 描述 其实就是说console.table也能污染原型链了，但是危害很小，因为只允许将空字符串分配给对象原型的数字键。 本地调试之后，其实就是将...

前言这个漏洞杀伤力有目共睹。很感兴趣，拖了这么久来学习一下。 漏洞简介编号 CVE-2021-44228 Apache Log4j2是一个基于Java的日志记录工具。由于Apache Log4j2某些功能存在递归解析功能，攻击者可直接...

Dubbo HttpInvokerServiceExporter反序列化漏洞Dubbo简介Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一种远程调用) 分布式服务框架(SOA)，致力于 提供高性能和透明化的RPC远程服务...