20年开始就很多复现了，现在才赶来学习 议题最开始在 BlackHat Europe 2019 上由 Back2Zero 团队给出演讲，后在欧洲顶级信息安全会议 HITB SECCONF SIN-2021 上由 Litch1 & p

简单介绍一下XXE XXE简述内部实体与外部实体一般是由一个DTD控制一个XML的格式。比如： DOCTYPE元素后跟的第一个ELEMENT定义了能接收的标签集合 1234567<?xml version="1.0"

仅需JDK在指定版本，有反序列化入口，但无需其他的依赖包比如CC，CB能否直接打入反序列化？ 其中一个答案就是java原生反序列化链JDK7u21 jdk7u21原生反序列化没有CC依赖，那之前的InvokerTransformer，cha