之前有分析到，fastjson识别setter的流程如下： 按以下顺序判断，满足条件的话，会被当成setter调用： set开头，参数长度为1，非static，方法名总长度大于3 没有setter方法，有字段是bool类型，则用is加上首

Groovy 是一种基于 Java 平台的面向对象语言。 pom.xml： 12345<dependency> <groupId>org.codehaus.groovy</groupId&g

想不到2017的链子我还在复现 反序列化条件达到以下任意一个条件，可以反序列化指定类： 开启了enableDefaultTyping()四个的任意一个设置，不过不同设置能反序列化的范围不同，trick也不同（不过范围最小的JAVA_LAN

学C3P0不会jackson，然后滚去学jackson了 学jackson不会spEL，然后滚去学spEL了 学SpEL不会spring，然后滚来学spring了 springspring提供了很多种从xml文件实例化bean的方法。虽然这

Spring转载自https://www.yuque.com/5tooc3a/jas/vwovvqh6w86ifrye# 1.什么是Spring他是一个设计层面的框架，极大的简化了开发—java程序员的春天 然后了解其核心是控制反转（IOC

pom.xml： 123456789101112131415<dependency> <groupId>com.fasterxml.jackson.core</groupId> <art

回想fastjson获取setter方法的部分 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748for (Meth

FastJson 是阿里巴巴的开源 JSON 解析库，它可以解析 JSON 格式的字符串，支持 javaBean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 javabean 特点就是快，性能好，也就是因为此，Fast

觉得自己牛逼了？打个比赛你就老实了 SCTF SycServer2.0原型链污染/robots.txt 123User-agent: *Disallow:Disallow: /ExP0rtApi?v=static&f=1.

抄一份nodejs的漏洞合集 https://xz.aliyun.com/t/13065#toc-15 S.No Javascript NodeJS 1 Javascript是一种编程语言，用于在网站上编写脚本。 NodeJS是

ROME 是一个关于 RSS 和 Atom 格式的 java 框架 那什么是 RSS 和 Atom 呢？ RSS 全称：RDF Site Summary 或 Really Simple Syndication，中文翻译为简易信息聚合，也叫做

JNDI是一种命名服务，全称叫Java Naming and Directory Interface 开发者可以讲JNDI API映射为特定的命名服务和目录系统。 单纯的文字讲着可能很抽象，来看case RMI中，提供一个远程对象，并在客户

在打shiro的时候，我们发现不能用Transformer数组，而能用byte[]数组，这是为甚？ 原文： https://godownio.github.io/2024/08/06/shiro-fan-xu-lie-hua-shen-j

说实话我每次看到RMI的流程我都觉得脑袋疼。而且分析完了都不记得分析了个什么鸟。 或许这次会好一点。 RMI远程类调用RMI的作用就是客户端调用服务端的远程类。 我们开两个项目，一个做客户端，一个做服务端。用jdk8u65 RMIServe

仅需JDK在指定版本，有反序列化入口，但无需其他的依赖包比如CC，CB能否直接打入反序列化？ 其中一个答案就是java原生反序列化链JDK7u21 jdk7u21原生反序列化没有CC依赖，那之前的InvokerTransformer，cha