XStream是一个能将Java对象和XML相互转换的Java库。(脑海浮现spring 加载xmlpom.xml:<dependency> <groupId&g…
SnakeYaml是java的yaml解析类库,支持Java对象的序列化/反序列化。类似python,SnakeYaml使用缩进代表层级关系,缩进只能用空格,不能用TAB。Copy…
本文作者:inhann@360SRC本系列文章将以SAST引擎开发者的视角,讲述笔者如何在实际的漏洞挖掘场景下,利用指针分析等程序分析手段,实现半自动化的Java反序列化利用链挖掘…
前言在本文中,我们将深入探讨Java应用程序中的不安全反序列化这一话题。要理解这一漏洞,首先需要了解序列化和反序列化的定义及其在应用程序中的重要性。序列化是将对象转换为可保存或传输…
说实话我每次看到RMI的流程我都觉得脑袋疼。而且分析完了都不记得分析了个什么鸟。或许这次会好一点。RMI远程类调用RMI的作用就是客户端调用服务端的远程类。我们开两个项目,一个做客…
1 你必须知道的点1.1 反序列化利用链的起点是readObject()方法Java的序列化机制允许将对象的状态保存到一个字节流中,之后可以从这个字节流中恢复(或“反序列化”)出对…
前置知识:Java动态代理静态代理假设现在有这么一个需求:创建了一个接口A,里面有display()函数、select()函数、add()函数,类AImpl实现了这三个函数,类As…
CC链的介绍Apache Commons 当中有⼀个组件叫做 Apache Commons Collections ,主要封装了Java 的 Collection(集合) 相关类对…
Java 基础Java 介绍一个Java 程序可以认为是一系列对象的集合,而这些对象通过调用彼此的方法来协同工作,下面简要介绍下类、对象、方法和实例变量的概念。对象:对象是类的一个…
0x01 序列化概念序列化是指将一个对象转换为一个字节序列(包含对象的数据、对象的类型和对象中存储的属性等信息),以便在网络上传输或保存到文件中,或者在程序之间传递。在 Java …