摘要： 原理： Fastjson 的 @type 字段允许反序列化时动态指定类，攻击者可以通过指定带有危险行为的类，并结合 RMI/LDAP 远程加载恶意类，从而实现命令执行。 开启vulhub靶场 //如何验证是否存在fastjson反序列化漏洞 有json数据传输的地方可能存在 可以尝试使用dnslog 阅读全文