Fastjson 又出高危漏洞,可远程执行代码!


分享一份 2020 年架构师学习资料!

0x01 漏洞背景

2020年05月28日, 360CERT监测发现业内安全厂商发布了 Fastjson 远程代码执行漏洞的风险通告,漏洞等级:高危

Fastjson是阿里巴巴的开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。

Fastjson存在远程代码执行漏洞,autotype开关的限制可以被绕过,链式的反序列化攻击者精心构造反序列化利用链,最终达成远程命令执行的后果。

看完这篇,你也是字符编码大神!


分享一份 2020 年架构师学习资料!

前言

大家都知道,程序中的所有信息都是以二进制的形式存储在计算机的底层,也就是说我们在代码中定义的一个 char 字符或者一个 int 整数都会被转换成二进制码储存起来,这个过程可以被称为编码,而将计算机底层的二进制码转换成屏幕上有意义的字符(如“hello world”),这个过程就称为解码

在计算机中字符的编解码就涉及到字符集(Character Set)这个概念,他就相当于能够将一个字符与一个整数一一对应的一个映射表,常见的字符集有 ASCII、Unicode 等。

很多时候我们会将字符集的编码与字符集混为一谈,从这里就可以看出它们并非同一个概念,字符集仅仅是一个字符的集合,而编码却是一个更复杂的过程。至于为什么会经常将这两个概念放在一起,他们之间的联系是什么,我们经常使用的 UTF-8 又是什么,这就是这篇文章我要讨论的话题。

面试遇到不会回答的问题,如何力挽狂澜 ?


分享一份 2020 年架构师学习资料!

一. 前言

今天给大家讲讲面试过程当中最长遇到的窘境,也是最能体现一个候选人临场应变能力的地方,那就是当我们在面试的过程当中,遇到的问题回答不上来的时候,该怎么办。

二. 误区

在开始讲解之前,先纠正一个误区,那就是对于一场面试而言,最后的结果好坏并不完全取决于面试当中的问题是否都回答了上来。

Spring Boot 2.3 优雅关闭新姿势,真香!


分享一份 2020 年架构师学习资料!

https://spring.io/blog/2020/05/15/spring-boot-2-3-0-available-now

其中有个新特性叫:Graceful shutdown(优雅关闭)

之前也分享过这样的文章,现在竟然出品官方姿势了,新功能嘛,肯定得去官方看下,下面是官方的说明:

Graceful shutdown is supported with all four embedded web servers (Jetty, Reactor Netty, Tomcat, and Undertow) and with both reactive and Servlet-based web applications. When a grace period is configured, upon shutdown, the web server will no longer permit new requests and will wait for up to the grace period for active requests to complete.

下面,栈长给大家总结下: