log4j漏洞 Log4j 漏洞在安全圈引起了轩然大波，可以说是核弹级别的漏洞，无论是渗透、研发、安服、研究，所有人都在学习和复现这个漏洞，由于其覆盖面广，引用次数庞大，直接成为可以与永恒之蓝齐名的顶级可利用漏洞，官方 CVSS 评分更是

本文key点就在于apache Hessian2反序列化会触发readMap，进而触发hashMap.put 首先，先介绍一下JAVA RPC apache Dubbo反序列化JAVA RPCJava RPC（Remote Procedu

Spring FatJar写文件到RCE来自LandGrey 2020的著名文章：Spring Boot Fat Jar 写文件漏洞到稳定 RCE 的探索 https://landgrey.me/blog/22/ 背

1234567<dependencies> <dependency> <groupId>org.aspectj</groupId> <artifactI

XStream是一个能将Java对象和XML相互转换的Java库。（脑海浮现spring 加载xml pom.xml： 12345<dependency> <groupId>com.thoughtworks.x

SnakeYaml是java的yaml解析类库，支持Java对象的序列化/反序列化 类似python，SnakeYaml使用缩进代表层级关系，缩进只能用空格，不能用TAB。 Copy一手Yaml语法： 1、对象 使用冒号代表，格式

fastjson 1.2.68版本绕过 fastjson 1.2.68在之前版本1.2.47 版本漏洞爆发之后，官方在 1.2.48 对漏洞进行了修复。 TypeUtils.loadClass加了一个cache判断 而MiscCodec.

C3P0是一个开源的JDBC连接池，它实现了数据源和JNDI绑定，目前使用它的开源项目有Hibernate，Spring等。 连接池类似于线程池，在一些情况下我们会频繁地操作数据库，此时Java在连接数据库时会频繁地创建或销毁句柄，增大资源

以下均指对json的反序列化过程 setterfastjson调用setter：遍历所有方法，找出所有满足setter要求的方法，再根据传入的json去反射调用 jackson调用setter：直接对传入的json中的字段拼接上set，然后

之前有分析到，fastjson识别setter的流程如下： 按以下顺序判断，满足条件的话，会被当成setter调用： set开头，参数长度为1，非static，方法名总长度大于3 没有setter方法，有字段是bool类型，则用is加上首