【摘 要】
:
Oj是一个快速的JSON解析Ruby库,由于它极其高效且易用,根据Github统计,有上万项目以其作为依赖项.Oj库默认使用一个类型系统来解析Ruby对象,这允许应用代码在反序列化JSON字符串时恢复原始的对象,但这种能力可能导致安全漏洞,如远程代码执行或拒绝服务.本文将分析Oj库反序列化时可能造成的漏洞,并给出消除此类漏洞的建议.
【机 构】
:
国网眉山供电公司 四川 620010
论文部分内容阅读
Oj是一个快速的JSON解析Ruby库,由于它极其高效且易用,根据Github统计,有上万项目以其作为依赖项.Oj库默认使用一个类型系统来解析Ruby对象,这允许应用代码在反序列化JSON字符串时恢复原始的对象,但这种能力可能导致安全漏洞,如远程代码执行或拒绝服务.本文将分析Oj库反序列化时可能造成的漏洞,并给出消除此类漏洞的建议.
其他文献
在数据时代,数据的价值受到广泛关注,分析数据背后的含义已成为广泛研究的问题.Python是一种可操作性强、易于使用、功能齐全的工具,广泛用于数据分析.本文使用Python作为主要工具,并使用其内置和集成库来分析和可视化不同类型的数据,充分发挥Python在数据分析领域的作用.
为了有效保障云计算环境下供应链产品信息搜索系统中外包数据的安全性,提出一种基于全同态加密的关键词搜索方案.该方案基于向量加密技术对文档集合建立关键词向量空间模型,进而在加密域中计算搜索关键词与文档向量空间的相似度,从而实现信息搜索操作.方案利用加密算法的同态性,在整个搜索过程中第三方均无法获取明文数据,在一定程度上保护了数据隐私.仿真实验结果表明,该方案不仅能够满足效率需求,还能够保证数据的安全性,满足实际应用的需求.
SQL注入是一种常见的Web安全漏洞,其利用方式简单,破坏力强.对抗机器学习是一种针对检测模型的攻击方法,通过改变检测样本的内容和结构,从而使得检测模型大大降低对其检测的效果.现如今有许多针对SQL注入检测模型的研究,然而多数研究未考虑对抗样本下的检测效果和防御手段,这种危害巨大的攻击手段配合对抗机器学习对Web应用的安全产生了巨大威胁.为保障检测模型的健壮性,预防该攻击手段的潜在危害,本文通过分析现有的和本文提出的对抗机器学习方法所产生的对抗样本,提出了一种新的检测方法.首先,针对MySQL数据库,文本
随着社会的发展,房地产的兴起,高楼的新建,坠楼事件频频发生.不仅对坠楼人员及其家人的生命、财产受到威胁,也会影响到事发所在地的人员的生命和财产安全.针对坠楼事件的发生,本文提出一种基于YOLOV4-Tiny的坠楼检测预警应用,在检测到有人靠近窗户,顶楼边缘等容易坠楼的地方后对监管人员发出预警.YOLOV4-Tiny是基于YOLOV4的轻量化模型,网络结构更简单,检测速度快,适于实时且硬件条件有限的目标检测.本研究在Colab平台上,采用VOC2011数据集中含有人类的图像作为数据集训练模型,YOLOV4-
本文针对多场景下的道路检测算法系统识别类型偏少和识别数量不精准等问题,提出了一种基于YOLOv4算法的轻量级的目标检测方法,模型包含了大部分常见车辆类型.本文方法MAP为90.0%.采用7:3的分配方法,数据集共2512张图片.拥有较高的车辆识别精度和视频流畅度,同时有效解决了大型道路交通场景下的车辆遮挡位置问题和小距离目标车辆检测时的问题,具有非常好的实际技术应用研究价值.
污染环境犯罪作案手段隐蔽,危害后果的浮现具有延迟性,给侦查工作带来极大的阻碍,本文基于污染环境犯罪的特点,结合近几年公安大数据侦查蓬勃发展的现状,提出基于数据挖掘技术的污染环境犯罪预警模型的构建设想,论述其必要性与可行性,以及构建预警模型的整个流程,以期能够为污染环境犯罪的有效打击提供一些借鉴和帮助.
智能模型的建设过程中往往具有计算工作复杂,效率不达标的情况,然而为了完成网络运维工作,必然要完成模型构建.在这一前提下,本文提出的异常检测算法选择框架为改善工作量大且复杂的情况做出了优化,提高了效率,同时降低了人力成本.该算法是根据KPI数据进行自动化的适配异常检测算法,本文对该方法做了详细介绍.
为提升传统公钥体制下身份认证方案的效能,本文引入伪随机数作为挑战信息的挑战应答机制,并糅合散列函数及异或运算,提出一种只需两次信息交互的身份认证协议,并证明新协议拥有较高的安全性和效率.
为了实时精准检测各类云计算攻击,保障云计算平台运行的安全性,本文提出了基于场景模型与深度学习的云计算攻击检测方法.构建包含云计算攻击报警信息的云计算攻击场景模型,结合卷积神经网络与改进递归神经网络创建包含输入层、卷积层、递归层、全连接层及输出层的深度学习网络模型,对云计算攻击场景模型内数据实施分组、特征提取、格式转换及维度重构,获得三维矩阵输入深度学习网络模型内实施攻击检测.结果表明,该方法内深度学习网络在步幅为6、窗口尺寸为600时性能最佳;可实现不同类别攻击的检测,所检测出的各类攻击数据量与实际数量较
本文针对电子病历操作记录的安全性及隐私性问题,提出了一种基于区块链的病历操作记录的隐私保护方案.通过基于RSA数字签名的身份认证方案为加入区块链网络的符合条件的医疗机构提供身份证明,通过群签名方案来实现必要时节点可跟踪,通过CA公钥加密使得即使区块链上的群管理员节点被入侵也无法获得隐私信息.通过该方案可以实现保护数据隐私的前提下信息可追溯,同时即使区块链中的群管理员节点被入侵,也可保护数据隐私.