简单介绍一下XXE XXE简述内部实体与外部实体一般是由一个DTD控制一个XML的格式。比如： DOCTYPE元素后跟的第一个ELEMENT定义了能接收的标签集合 1234567<?xml version="1.0"

XStream是一个能将Java对象和XML相互转换的Java库。（脑海浮现spring 加载xml pom.xml： 12345<dependency> <groupId>com.thoughtworks.x

SnakeYaml是java的yaml解析类库，支持Java对象的序列化/反序列化 类似python，SnakeYaml使用缩进代表层级关系，缩进只能用空格，不能用TAB。 Copy一手Yaml语法： 1、对象 使用冒号代表，格式

fastjson 1.2.68版本绕过 fastjson 1.2.68在之前版本1.2.47 版本漏洞爆发之后，官方在 1.2.48 对漏洞进行了修复。 TypeUtils.loadClass加了一个cache判断 而MiscCodec.

C3P0是一个开源的JDBC连接池，它实现了数据源和JNDI绑定，目前使用它的开源项目有Hibernate，Spring等。 连接池类似于线程池，在一些情况下我们会频繁地操作数据库，此时Java在连接数据库时会频繁地创建或销毁句柄，增大资源

以下均指对json的反序列化过程 setterfastjson调用setter：遍历所有方法，找出所有满足setter要求的方法，再根据传入的json去反射调用 jackson调用setter：直接对传入的json中的字段拼接上set，然后

之前有分析到，fastjson识别setter的流程如下： 按以下顺序判断，满足条件的话，会被当成setter调用： set开头，参数长度为1，非static，方法名总长度大于3 没有setter方法，有字段是bool类型，则用is加上首

Groovy 是一种基于 Java 平台的面向对象语言。 pom.xml： 12345<dependency> <groupId>org.codehaus.groovy</groupId&g

想不到2017的链子我还在复现 反序列化条件达到以下任意一个条件，可以反序列化指定类： 开启了enableDefaultTyping()四个的任意一个设置，不过不同设置能反序列化的范围不同，trick也不同（不过范围最小的JAVA_LAN

学C3P0不会jackson，然后滚去学jackson了 学jackson不会spEL，然后滚去学spEL了 学SpEL不会spring，然后滚来学spring了 springspring提供了很多种从xml文件实例化bean的方法。虽然这

Spring转载自https://www.yuque.com/5tooc3a/jas/vwovvqh6w86ifrye# 1.什么是Spring他是一个设计层面的框架，极大的简化了开发—java程序员的春天 然后了解其核心是控制反转（IOC

pom.xml： 123456789101112131415<dependency> <groupId>com.fasterxml.jackson.core</groupId> <art

回想fastjson获取setter方法的部分 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748for (Meth

FastJson 是阿里巴巴的开源 JSON 解析库，它可以解析 JSON 格式的字符串，支持 javaBean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 javabean 特点就是快，性能好，也就是因为此，Fast

觉得自己牛逼了？打个比赛你就老实了 SCTF SycServer2.0原型链污染/robots.txt 123User-agent: *Disallow:Disallow: /ExP0rtApi?v=static&f=1.