t
Gott sei Dank
Какое свойство переопределить?
В python есть модуль pickle и там есть метод
__reduce__. Хз как в джаве
__reduce__. Хз как в джаве
Size: a a a
2020 July 01
t
В python есть модуль pickle и там есть метод
Смысл в том чтобы переопределить поведение десериализации для случая когда модуль не может сделать это автоматически.
B
Gott sei Dank
о каком свойстве....
Нужно переопределить id-шник же! Потом после десериализации вызывается метод readObject() и наш айдишник попадает в sql запрос через String.format который тупо %s заменяет на нашу строку которую мы записали в id
Что здесь вообще сложного??????? Сразу же видно где скуля и что нужно переопределить ;D
Что здесь вообще сложного??????? Сразу же видно где скуля и что нужно переопределить ;D
Е
Старый айкос
Нужно менять
Нужно менять
B
Miguel Suddya
@zinngraf да
но нужно понимать, кто и где вызывает ProductTemplate
но нужно понимать, кто и где вызывает ProductTemplate
ProductTemplate вызывается при создании объекта, так как это конструктор ;D
_
ProductTemplate вызывается при создании объекта, так как это конструктор ;D
Объясните что вообще пытаются сделать? Я по реплаях дошел до кода, но так и не понял чего хотят добиться.
Нужно как-то поменять идшник? Или в чем суть?
Нужно как-то поменять идшник? Или в чем суть?
GD
Нужно переопределить id-шник же! Потом после десериализации вызывается метод readObject() и наш айдишник попадает в sql запрос через String.format который тупо %s заменяет на нашу строку которую мы записали в id
Что здесь вообще сложного??????? Сразу же видно где скуля и что нужно переопределить ;D
Что здесь вообще сложного??????? Сразу же видно где скуля и что нужно переопределить ;D
да, сразу видно. Что тут сложного? Разве что не этот класс десериализуется))
GD
ProductTemplate вызывается при создании объекта, так как это конструктор ;D
он еще и в другом случае вызваться можеь
GD
но не все об этом знают
GD
и не так уж это очевидно
s
_
Объясните что вообще пытаются сделать? Я по реплаях дошел до кода, но так и не понял чего хотят добиться.
Нужно как-то поменять идшник? Или в чем суть?
Нужно как-то поменять идшник? Или в чем суть?
Айдишник конкатенируется со скуль запросом, но передается он, как я понял из обсуждения, в сериализованных данных
Хотят поменять айдишник таким образом, чтобы тригернуть инъекцию в запросе
Хотят поменять айдишник таким образом, чтобы тригернуть инъекцию в запросе
GD
Айдишник конкатенируется со скуль запросом, но передается он, как я понял из обсуждения, в сериализованных данных
Хотят поменять айдишник таким образом, чтобы тригернуть инъекцию в запросе
Хотят поменять айдишник таким образом, чтобы тригернуть инъекцию в запросе
да. но сам этот класс нигде не сериализуется)
B
_
Объясните что вообще пытаются сделать? Я по реплаях дошел до кода, но так и не понял чего хотят добиться.
Нужно как-то поменять идшник? Или в чем суть?
Нужно как-то поменять идшник? Или в чем суть?
Ну как я понял, они пытаются спровоцировать скулю через десериализацию. Я само задание не выдел) Здесь всегда кидают части заданий и после пишут "да. но сам этот класс нигде не сериализуется)".
B
Gott sei Dank
он еще и в другом случае вызваться можеь
ты это мне рассказываешь?) ;D
s
О, вижу старый добрый СНГ айти)
GD
ты это мне рассказываешь?) ;D
да тебе) xD
GD
ну ты конечно заливаешь как это легко:)
GD
если не знать этого то не легко
GD
В общем суть была добавить этот класс как параметр в другой класс который сериализируется.
GD
При этом добавить еще 1 параметр, который можно узнать через брут или же если ошибки принтит, то быстрее