不安全的反序列化

  在Web应用安全中,反序列化漏洞是一种非常常见的漏洞形式,这篇文章主要参考了PortSwigger,介绍了不安全的反序列化的概念,并通过一个简单易懂的实验说明了不安全的反序列化是如何危害到Web安全的。

概念与背景

序列化和反序列化

  序列化是将复杂的数据结构(例如对象其字段)转换为“更扁平”的格式的过程,这种格式可以用于字节流发送和接收,使用序列化技术,我们可以将复杂的数据写入内存、文件或数据库,并且通过网络在应用程序的不同组件之间或在API调用中发送复杂的数据。在序列化对象时,其状态也将保留下来。换句话说,序列化将保留对象的属性及其分配的值。

  很多编程语言都支持序列化操作,具体的序列化方式取决于不同的语言,某些语言将对象序列化为二进制格式,而其他语言则使用不同的字符串格式,并具有不同程度的可读性。需要注意的是,所有原始对象的属性都存储在序列化的数据流中,包括任何私有字段。在实际应用中,如果需要防止某些字段被序列化,必须在类声明中将其显式标记为“ transient”。在使用不同的编程语言时,序列化可能被称为marshalling(Ruby)或pickling(Python)。在本文中,这些术语与“序列化”同义。

img

不安全的反序列化

  不安全的反序列化是指攻击者操纵用户可控制的数据,在其中插入有害数据,这部分数据被序列化后发送给网站,网站接着对其进行反序列化,有害数据就被传递到了应用程序代码中。

  攻击者甚至有可能用不同类型的对象替换序列化的对象。如果网站不对序列化数据进行检查,那么任何类型的对象都会被反序列化和实例化。因此,不安全的反序列化也被称为“对象注入”漏洞。

  许多基于反序列化的攻击在反序列化之前就已经完成,这意味着即使网站本身并未与恶意对象进行直接交互,反序列化过程本身也可以发起攻击,因此,逻辑上依赖于编程语言的网站也容易受到这种技术的攻击。

展开全文 >>

对抗攻击之FGSM

  对抗样本的攻防是一个非常有趣的领域,它引发了我们的思考:当前模型的准确率是否只是徒有其表,并没有真正学习到内在的语义信息,无法应对泛化问题

  本文仅从对抗攻击出发,介绍一种简单的对抗样本生成算法fast gradient sign method(FGSM)

什么是对抗攻击

  算法之前,先介绍一下对抗攻击的基本概念

  对抗攻击最核心的手段就是制造对抗样本去迷惑模型,比如在计算机视觉领域,攻击样本就是向原始样本中添加一些人眼无法察觉的噪声,这些噪声不会影响人类识别,但却很容易迷惑机器学习模型,使它作出错误的判断

img

展开全文 >>

产生和使用共享库

在编写代码中,调用库函数是一个省时省力的做法,那么在具体的操作系统中库是如何编写实现的呢,这里记录一下学习过程

为什么要引入库的概念

  1. 函数模块的功能相同,实现代码也相同,通过对它们进行封装为库,方便模块之间的调用,避免代码重复。
  2. 封装另外一个目的是针对接口编程,对实现代码进行保密,利于代码保护和代码升级。

静态库vs共享库

Linux下的库有两种:静态库(libxxx.a)和共享库(libxxx.so)

二者的不同点在于代码被载入的时刻不同

  • 静态库的代码在编译过程中已经被载入可执行程序,因此体积较大。
  • 共享库的代码是在可执行程序运行时才载入内存的,在编译过程中仅简单的引用,因此代码体积较小。

展开全文 >>

微信生态圈的发展趋势分析

借着课程大作业的机会对微信生态圈的概念做了一个小小的梳理

什么是微信生态圈

​ 传统的生态圈由生产者、消费者、分解者组成,各个部分间通过资源的共享,互惠互利,共同维持着生态系统的稳定性。

​ 商业生态圈,指商业活动的各利益相关者通过共同建立一个价值平台而实现生态价值的最大化,力求“共同进化”。现代企业,从企业的各项业务,到企业间的关系,都是一种互联的概念,只有建立良好的生态圈,才能充分地整合资源、互惠互利

​ 与生物生态圈相比,有很多类似之处,首先竞争性依然存在,但更多是强化了彼此间的联动性、共赢性和整体发展的持续性;其次弱肉强食的收购、吞并现象依然持续,一些非正当竞争依然存在,这就是生态圈的自由性体现。最后生态圈还存在一些非主流甚至怪异的现象,这是进化的体现。

​ 具体到微信,微信生态圈同时实现了沟通、经营、购物、支付一体化,以微信平台为核心,出现一个较为完备的体系结构

展开全文 >>

深度学习中常用的优化算法

  因为在求解最优化问题的时候有可能陷入局部最优或马鞍点(尤其当解处在一个高维空间中时), Momentum, AdaGrad, RMSProp, Adam是解决这个问题的不同方法

Momentum

  类似于物理中惯性的概念,一个球从斜坡上滚下到达平面时由于惯性的作用会继续运动一段距离,当解处在局部最优或马鞍点时也引入这样一个概念,让它继续运动

  式子如下,velocity考虑了之前所有的梯度和当前梯度的影响,由于衰减率的存在,越接近当前状态的梯度所占的权重越大,反之越小,这样就做到了让之前的状态影响现在的状态

Nesterov Momentum

  Nesterov Momentum与Momentum稍有不同换元之后比较好解释,首先计算了当前的velocity,然后用gradient对其进行校正,相当于对gradient进行了一些修正,有点类似于改进欧拉法

展开全文 >>

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

很惭愧<br><br>只做了一点微小的工作<br>谢谢大家