Spring AOP链springAOP简介Spring AOP（Aspect-Oriented Programming，面向切面编程）是 Spring 框架中的一部分，用于在不修改源代码的前提下，将横切关注点（cross-cutting

不出意外，groovy利用还是脱不开AST注解、GroovyShell、GroovyClassLoader这几个东西 fastjson groovy链来自2022KCON 浅蓝师傅的议题 利用条件： 1.2.76 <= f

给师姐写了三个论文的密码学代码，燃尽了 回过头来想到上次hvv面试，面试官饶有余味的问我知不知道fastjson 的groovy链，我一想这最新版本的我还真不知道，稀里糊涂的答了应该是AST注解，毕竟groovy在安全除了JNDI 高版本用

resin反序列化其他洞学累了，学会儿愉快的反序列化拼拼乐吧 pom： 12345<dependency> <groupId>com.caucho</groupId> <artifactId&g

Apache HertzBeat SnakeYaml 反序列化远程代码执行漏洞（CVE-2024-42323）snakeYaml反序列化：https://godownio.github.io/2024/10/28/snakeyaml com

Shiro反序列化突破长度限制来源于hw面试官的问题，shiro rememberMe限制了Header长度怎么办 首先需要知道一下rememberMe长度限制的究竟是什么场景。一般来说，shiro注入是打CB链加载TemplatesImp

fastjson 原生反序列化（obj.toString的四种触发方式）原生反序列化，指的是readObject入口打依赖，而不是parse这种函数入口。 fastjson parseObject流程分析：https://godownio.

log4j漏洞 Log4j 漏洞在安全圈引起了轩然大波，可以说是核弹级别的漏洞，无论是渗透、研发、安服、研究，所有人都在学习和复现这个漏洞，由于其覆盖面广，引用次数庞大，直接成为可以与永恒之蓝齐名的顶级可利用漏洞，官方 CVSS 评分更是

本文key点就在于apache Hessian2反序列化会触发readMap，进而触发hashMap.put 首先，先介绍一下JAVA RPC apache Dubbo反序列化JAVA RPCJava RPC（Remote Procedu

Spring FatJar写文件到RCE来自LandGrey 2020的著名文章：Spring Boot Fat Jar 写文件漏洞到稳定 RCE 的探索 https://landgrey.me/blog/22/ 背