摘要：背景： Apache Commons Collections是一个著名的辅助开发库，包含了一些Java中没有的数据结构和和辅助方法，不过随着Java 9以后的版本中原生库功能的丰富，以及反序列化漏洞的影响，它也在逐渐被升级或替代。 在2015年底commons-collections反序列化利用链被 阅读全文

摘要：原理&环境 Shiro反序列化漏洞原理： 为了让浏览器或服务器重 启后用户不丢失登录状态，Shiro支持将持久化信息序列化并加密后保存在Cookie的rememberMe字 段中，下次读取时进行解密再反序列化。但是在Shiro 1.2.4版本之前内置了一个默认且固定的加密 Key，导致攻击者可以伪造 阅读全文

摘要：为什么需要CC3 在2015年前后@frohoff和@gebl发布了Talk《Marshalling Pickles: how deserializing objects will ruin your day》，以及Java反序列化利用工具ysoserial，随后引爆了安全界。开发者们自然会去找寻一 阅读全文

摘要：持续补充 ... URLCLassLoader ClassLoader#loader(URL[])远程加载class URLCLassLoader实际上是我们平时默认使用的AppClassLoader的父类，所以，我们解释URLClassLoader的工作过程实际上就是在解释默认的Java类加载器的 阅读全文