摘要：##前言 WebLogic是一个基于JavaEE架构的中间件。JRMP:java remote method protocol，Java远程方法协议，一个Java特有的,基于流的协议，一个对象的Java到Java的远程调用，和api类似把就是远程调用对象的协议。 该漏洞受影响版本 Weblogic 阅读全文

摘要：##漏洞成因 fastjson是java的一个库，可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。fastjson在解析json的过程中，支持使用autoType来实例化某一个具体的类，并调用该类的set/get方法来访 阅读全文

摘要：##漏洞成因 shiro默认使用了CookieRememberMeManager，其处理cookie的流程是：得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化 然而AES的密钥是硬编码的，就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。硬编码是什么，参考 阅读全文

摘要：###简述漏洞成因 Apache Struts2使用某些标签时,会对标签属性值进行二次表达式解析,当标签属性值使用了%{xxx}并且xxx的值用户可以控制,就会造成OGNL表达式执行。OGNL是一个功能强大的表达式语言，用来获取和设置 java 对象的属性。可以用简洁的语法来完成对 java 对象的 阅读全文