【第35课】安全开发-JavaEE应用&原生反序列化&重写方法&链条分析&触发类&类加载

最新推荐文章于 2025-04-30 15:58:09 发布
最新推荐文章于 2025-04-30 15:58:09 发布
阅读量1k 收藏 21
点赞数 13
分类专栏: (三)安全开发 文章标签: 安全 java-ee python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lucker_YYY/article/details/142052466
版权

1121212

Java知识点:

功能:数据库操作,文件操作,序列化数据,身份验证,框架开发,第三方库使用等.

框架库:MyBatis,SpringMVC,SpringBoot,Shiro,Log4j,FastJson等

技术:Servlet,Listen,Filter,Interceptor,JWT,AOP,反射机制待补充

安全:SQL注入,RCE执行,反序列化,脆弱验证,未授权访问,待补充

安全:原生开发安全,第三方框架安全,第三方库安全等,待补充

Java-原生使用-序列化&反序列化

序列化与反序列化

序列化:将内存中的对象压缩成字节流

反序列化:将字节流转化成内存中的对象

为什么有序列化技术?

序列化与反序列化的设计就是用来传输数据的。

当两个进程进行通信的时候,可以通过序列化反序列化来进行传输。

能够实现数据的持久化,通过序列化可以把数据永久的保存在硬盘上,也可以理解为通过序列化将数据保存在文件中。

应用场景

(1) 想把内存中的对象保存到一个文件中或者是数据库当中。

(2) 用套接字在网络上传输对象。

(3) 通过RMI传输对象的时候。

几种创建的序列化和反序列化协议

• JAVA内置的writeObject()/readObject()

• JAVA内置的XMLDecoder()/XMLEncoder

• XStream

• SnakeYaml

• FastJson

• Jackson

为什么会出现反序列化安全问题

内置原生写法分析

• 重写readObject方法

• 输出调用toString方法

反序列化利用链

(1) 入口类的readObject直接调用危险方法

(2) 入口参数中包含可控类,该类有危险方法,readObject时调用

(3) 入口类参数中包含可控类,该类又调用其他有危险方法的类,readObject时调用

(4) 构造函数/静态代码块等类加载时隐式

序列化实现,创建用户类,并实现 Serializable接口

package com.example;
 
import java.io.Serializable;
import java.io.IOException;
import java.io.ObjectInputStream;
 
// 用户信息类,实现了 Serializable 接口
public class UserDemo implements Serializable {
 
    // 公共成员变量
    public String name = "xiaodi";
    public String gender = "man";
    public Integer age = 30;
 
    // 构造方法
    public UserDemo(String name, String gender, Integer age) {
        this.name = name;
        thi
最低0.47元/天 解锁文章
paddleocr:使用自己的数据微调文字识别模型
静谧、淡雅
01-12 3778
PaddleOCR地址:https://github.com/PaddlePaddle/PaddleOCR 注意: 1 OCR半自动数据标注工具:PPOCRLabel 使用python3和pyqt5编写,支持矩形框标注和四点标注模式,导出格式可直接用于PPOCR检测和识别模型的训练。 用于构建训练、验证、测试的数据集。 PPOCRLabel说明和数据集划分方法见如下地址: https://gitee.com/paddlepaddle/PaddleOCR/blob/release/2.4/PPOCRLabel
PaddleOCR:基于PaddlePaddle的出色多语言OCR工具包(实用的超轻型OCR系统,提供数据注释和综合工具,支持在服务器,移动,嵌入式和IoT设备之间进行培训和部署)
02-07
English | 介绍 PaddleOCR旨在创建多语言,出色,领先和实用的OCR工具,以帮助用户训练更好的模型并将其应用于实践。 注意 PaddleOCR支持动态图和静态图编程范例 动态图:dygraph分支(默认),受桨2.0.0支持() 静态图:开发分支 最近更新 2021.1.21更新了超过25种以上的多语言识别模型的,包括:英语,中文,德语,法语,日语,西班牙语,葡萄牙语,俄罗斯,阿拉伯语等。 更多语言的模型将继续更新 。 2020.12.15更新了数据合成工具,即 ,易于合成与目标场景图像相似的大量图像。 2020.11.25更新新的数据注释工具 ,这有助于提高标记效率。 此外,标记结果可直接用于PP-OCR系统的培训。 2020.9.22更新PP-OCR技术文章 产品特点 PPOCR系列高质量的预训练模型,可媲美商业效果 超轻量ppocr_mobile系列模型:检测
PaddleOCR-PP-OCRv4推理详解及部署实现(中)
周同学的博客
07-23 3423
PaddleOCR-PP-OCRv4推理详解及部署实现(中)
OCR第三个方案:PP-OCRv4的初步探索
懒人的技术笔记
03-31 1985
PP-OCRv3(2022):采用SVTR识别架构,中文识别准确率突破80% PP-OCRv4(2023):融合Transformer与CNN的混合架构,实现多维度性能突破
从零开始使用最新版PaddlePaddleOCR系列】——第二部分:自建数据集 + 模型微调训练
qq_58718853的博客
10-15 2677
本文记录如何构建符合paddle规范的数据集,然后使用模型配置文件的命令行形式微调训练自建数据集上的新模型参数
PPOCR-V4训练-推理全流程
chengzijiaotang的博客
01-17 761
文本方向分模型:ch_ppocr_mobile_slim_v2.0_cls。检测模型:ch_PP-OCRv4_det。识别模型:ch_PP-OCRv4_rec。
PaddleOCR-PP-OCRv4推理详解及部署实现(上)
热门推荐
周同学的博客
07-21 1万+
PaddleOCR-PP-OCRv4推理详解及部署实现(上)
Paddle OCR v4 微调训练文字识别SVTRNet模型实践
every place is the center of the universe
04-25 5463
paddle ocr v4 微调训练文字识别模型实践
手写文字识别:PaddleOCR基于PPOCRv4的垂场景模型微调
简简单单的学习笔记,致力于帮助更多前进路上的朋友~
03-04 1万+
PaddleOCR提供的PP-OCR系列模型在通用场景中性能优异,能够解决绝大多数情况下的检测与识别问题。在垂场景中,如果希望获取更优的模型效果,可以通过模型微调的方法,进一步提升PP-OCR系列检测与识别模型的精度。
最好用的图文识别OCR -- PaddleOCR(4) 模型微调
路漫漫其修远兮 吾将上下而求索
01-13 3296
PaddleOCR模型微调模型测试、模型转换、推理模型应用
PaddleOCR》—— OCR
will be blogging
03-11 3003
PaddleOCR 是百度基于飞桨(PaddlePaddle)框架开源的全场景文字识别工具,支持多语言、多场景、高精度的 OCR 能力,覆盖文本检测、识别、方向分等全流程,广泛应用于文档扫描、车牌识别、票据处理、工业质检等场景
PaddleOCR检测模型微调实战:从数据准备到生产
fudaihb的博客
04-14 937
将文本检测准确率平均提升25-40%处理速度保持原有水平的90%以上支持特殊场景下的复杂文本检测需求PaddleOCR团队公布的数据显示,经过合理微调的检测模型垂直领域应用中,相比通用模型可减少70%的标注成本。正如百度首席技术官王海峰所言:“飞桨与PaddleOCR的组合,正在重新定义产业智能化的边界。完整案例代码及配置文件已开源至GitHub仓库,访问PaddleOCR官网获取最新技术资料。
PaddleOCR:基于PaddlePaddle的超赞多语言OCR工具包-开源
04-29
PaddleOCR提供了卓越,多语言和实用的光学字符识别(OCR)工具,可以帮助用户训练更好的模型并将其应用于实践。 受PaddlePaddle的启发,PaddleOCR是一款超轻量级的OCR系统,具有多语言识别,数字识别,垂直文本识别以及长文本识别。 它具有PPOCR系列的高质量预训练模型,其中包括:超轻型ppocr_mobile系列模型,通用ppocr_server系列模型和超轻型压缩ppocr_mobile_slim系列模型PaddleOCR易于安装,并且易于在Windows,Linux,MacOS和其他系统上使用。
二代paddle-ocr光学文字识别模型部署源码+项目说明.zip
03-16
二代paddle-ocr光学文字识别模型部署源码+项目说明.zip二代paddle-ocr光学文字识别模型部署源码+项目说明.zip二代paddle-ocr光学文字识别模型部署源码+项目说明.zip二代paddle-ocr光学文字识别模型部署源码+项目说明...
基于C/C++树莓派4B与Paddle-Lite实现的场景+源码+项目文档+使用教程(毕业设计&课程设计&项目开发)
04-20
基于C/C++树莓派4B与Paddle-Lite实现的场景+源码+项目文档+使用教程,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用,详情见md文档 基于C/C++树莓派4B与Paddle...
Umi-OCR-Paddle-v2.1.4.7z离线图片识别工具
11-21
此外,从软件的命名规则来看,“Umi-OCR-Paddle-v2.1.4”可能暗示着这款工具的开发商或维护者可能是Umi公司,或者是由该公司根据PaddlePaddle框架定制开发的。这个软件的命名也可能表明了它是一个持续更新的产品,...
二代paddle-ocr光学文字识别模型部署完整源码+说明.zip
03-27
2、适用人群:主要针对计算机相关专业(如计科、信息安全、数据科学与大数据技术、人工智能、通信、物联网、数学、电子信息等)的同学或企业员工下载使用,具有较高的学习借鉴价值。 3、不仅适合小白学习实战练习,也...
paddle-ocr-2-6.rar
04-18
参考博客:https://blog.csdn.net/Helloorld_1/article/details/130217468
PPOCRv4推理模型转换为nb模型
最新发布
2201_75550012的博客
04-30 949
3.File->New->Import Project 打开Paddle-Lite-Demo\object_detection\android\app\cxx\ssd_mobilenetv1_detection_demo 点击运行。mkdir -p /你的目录/Paddle-Lite/ch_PP-OCRv4_det_infer/nbmodel/--model_file=/你的路径/nbmodel/inference.pdmodel \。安装paddlepaddle,5.接下来就可以转换了。
ppocrv4 error happened with msg: Traceback (most recent call last):
01-25
### 解决 PP-OCRv4 出现的错误 当遇到 `WARNING: The pretrained params backbone.blocks2.0.dw_conv.lab.scale not in model` 这样的警告时,这通常意味着预训练模型中的某些参数未能匹配到当前配置下的模型结构中[^2]。 对于此问题的一个有效解决方案是采用特定配置文件来适配预训练权重。具体操作方法如下: 通过指定配置文件 `ch_PP-OCRv4_det_student.yml` 并利用已有的最佳精度预训练模型 (`best_accuracy`) 来启动训练过程可以绕过上述不兼容的问题。执行命令如下所示: ```bash python3 tools/train.py -c configs/det/ch_PP-OCRv4/ch_PP-OCRv4_det_student.yml ``` 该方案不仅解决了参数缺失带来的警告,还能够继续基于高质量的预训练成果进行微调,从而提升最终检测效果。 关于蒸馏的概念,在机器学习领域内指的是将大型复杂网络(teacher 模型)的知识迁移到小型简单网络(student 模型)。这里 student 和 teacher 的关系是指两个不同规模或架构的神经网络之间的指导与被指导的关系;其中 teacher 已经经过充分训练并具有良好的性能,而 student 则试图模仿前者的行为模式以达到相似的效果但保持更高效的计算特性。 至于提到的 `Traceback` 错误信息部分,由于未提供具体的跟踪堆栈详情,难以给出针对性建议。不过一般而言,这报错往往涉及代码逻辑错误或是环境配置不当等问题。为了更好地帮助定位和解决问题,推荐记录完整的异常日志,并仔细检查最近修改过的代码片段以及确认依赖库版本的一致性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值