Java Instrument机制于JDK 1.5版本引入,是一种Java中的字节码增强技术(Bytecode Instrumentation)。可以理解为一种JVM级别的AOP实现方式,可以实现向JVM中一个运行时程序加载一个jar包、并由该jar包对运行时程序进行字节码修改的效果。最初目的为实现JVM监控和类的动态修改。作为插桩技术,其在安全领域的应用包括不限于RASP、IAST等。
IAST(Interactive application security testing)交互式应用安全检测是一种应用安全测试方法,由Gartner公司与2012年提出。基于instrumentation机制,IAST可以与依赖库进行交互,并从内部对运行时应用进行分析,实现对代码漏洞的发现和诊断。(图片来源[1])
gRPC是谷歌设计的一个开源RPC(Remote Process Call)框架,其基于谷歌开发的Protocol Buffer(也支持其他数据结构如JSON、XML等),提供了一种分布式系统内部各个微服务之间互相调用的方法,具有语言无关、平台无关、高效(HTTP/2)、安全(TLS)、可扩展性强的特点,已被广泛应用于诸多公司如:NetFlex、Square、Cisco等。
紧跟上一篇,继续补一下fastjson的审计,复现和分析范围包括1.2.47-1.2.80。
/33f3fdfdbd7163516bd4eb85bbcb34a7.png)
本篇学习一下Netty框架,Netty是一个Java实现的、非常流行的NIO网络编程框架,很多知名项目如a阿里的Dubbo、Spark、ElasticSearch、Hadoop、蚂蚁金服的SOFABolt、谷歌的gRPC等等。学习前建议先掌握Java中NIO相关API的使用,并理解Unix操作系统中I/O多路复用模型的理论。
失踪人口回归...,2022年几乎没怎么好好写博客,一方面原因是因为科研,另一方面...懒了懒了我错了。年底中招奥密克戎,最近也是才缓过劲来,真是坎坷的一年。本科之前其实接触过C语言的网络编程,带课的李金库老师讲的很好,记得当时特别地对I/O多路复用(select)留下了很深的印象。今天复习一下Java中网络编程的相关理论和代码,包括最基础的Sokcet使用以及三种I/O模型。(ps:我gitee的博客由于部分文章没法过审核,因此gitee博客以后可能就不会更新了,我仍然使用github博客为主。
学习一下Numpy库的使用,该库在机器学习领域有不小的用处,可以高效的进行向量、矩阵等之间的运算操作。最近在学习强化学习的部分,代码实现刚好有用到。
