SpringAop链 前言 前面学习Hessian反序列化时，发现只有Rome反序列化这一条链是我学习过的，现在来补一补没有学过的链子 环境搭建 该链依赖于spring-aop和aspectjweaver两个包，在pom.xml文件中导

Hessian反序列化 前言 最近来学习一下Hessian反序列化，感觉这个组件也是非常常见的，看了看感觉有点类似于RMI的远程方法调用，但是触发点并不是readObject了，变成了hashCode/equals/compareTo其中

高版本JDKSpring原生反序列化链 前言 在《Java安全share》星球中，jsjcw师傅给出了 在高版本JDK下的spring原生链 POC，当时就想去研究一下这条链子，可惜其中有很多知识点我都没有接触过，所以这条链子的学习周期拉

Jackson中getter触发不稳定问题 前言 最近在分析《高版本JDKSpring原生反序列化链》时，其中有一个知识点为《JACKSON链的不稳定性》，前来学习一下（有个很奇怪很奇怪的事情，为什么我的Jackson链子十分的稳定，ou

EventListenerList触发任意toString 前言 最近爆出来一个《高版本JDK下的Spring原生反序列化链》，本来想着学习一下最前沿的新东西，看了一下其它师傅的分析文章，好多没见过的知识点，慢慢补吧... 任意toStr

Jackson反序列化 Jackson基础 Jackson介绍 Jackson 是一个开源的Java序列化和反序列化工具，可以将 Java 对象序列化为 XML 或 JSON 格式的字符串，以及将 XML 或 JSON 格式的字符串反序列化

JDK7u21 前言 好久之前的文章了，忘记发了 环境配置 只需JDK7u21 JDK7u21攻击链分析 JDK7u21的核心 JDK7u21的核心点就是`sun.reflect.annotation.AnnotationInvoc

H2-JDBC-Attack 前言 最近看了看了一些数据库驱动，想起来经常利用的H2数据库的驱动，但是还没分析过源码，所以今天来浅析一下 漏洞介绍 H2数据库是一款用Java编写的轻量级开源关系型数据库，支持嵌入式和服务器模式。它以其高

PostgreSQL-JDBC-Attack 前言 之前学习过通过Mysql驱动进行JDBC反序列化，最近有听到JDBC不出网的利用方式，今天来学习一下 PostgreSQL-JDBC RCE PostgreSQL Diver出网利用 影

Spring内存马 前言 Spring内存马常见的有两种，Controller内存马和Interceptor内存马，有了前面学习Tomcat的Filter、Servlet、Listener和Valve内存马的学习，学习Spring内存马感