fastjson 1.2.68版本绕过 fastjson 1.2.68在之前版本1.2.47 版本漏洞爆发之后，官方在 1.2.48 对漏洞进行了修复。 TypeUtils.loadClass加了一个cache判断 而MiscCodec.

以下均指对json的反序列化过程 setterfastjson调用setter：遍历所有方法，找出所有满足setter要求的方法，再根据传入的json去反射调用 jackson调用setter：直接对传入的json中的字段拼接上set，然后

之前有分析到，fastjson识别setter的流程如下： 按以下顺序判断，满足条件的话，会被当成setter调用： set开头，参数长度为1，非static，方法名总长度大于3 没有setter方法，有字段是bool类型，则用is加上首

回想fastjson获取setter方法的部分 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748for (Meth

FastJson 是阿里巴巴的开源 JSON 解析库，它可以解析 JSON 格式的字符串，支持 javaBean 序列化为 JSON 字符串，也可以从 JSON 字符串反序列化到 javabean 特点就是快，性能好，也就是因为此，Fast

Fastjson jdbcRowSetImpl链及后续漏洞分析在jdbcRowSetImpl中会用到jndi和rmi的知识 具体请见：https://mp.weixin.qq.com/s/wYujicYxSO4zqGylNRBtkA 素十八