本文属于OneTS安全团队成员Gal0nYu的原创文章，转载请声明出处！本文章仅用于学习交流使用，因利用此文信息而造成的任何直接或间接的后果及损失，均由使用者本...

FastJson 是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将JavaBean序列化为JSON字符串，也可以从JSON字符串反序列化...

在FastJson1.2.25以及之后的版本中，fastjson为了防止autoType这一机制带来的安全隐患，增加了一层名为checkAutoType的检测机...

后端 CMS：一般PHP开发居多源码程序（利用源码程序名去搜漏洞情况，源码去下载进行后期的代码审计）

朋友们现在只对常读和星标的公众号才展示大图推送，建议大家把“亿人安全“设为星标”，否则可能就看不到了啦

今天来记录一个在项目实战中比较实用的方法，主要是针对一些需要存在简单数据文件导入导出的场景，如：数据文件的简单备份、软件升版前后配置导入导出等场景

若存在dnslog回弹结果，将会生成/result/xxx_dnslog.html文件，没触发dnslog则不会生成该文件。

最近项目需要做一个java版本的demo，简单来做就是按照api文档拼装请求报文请求自己的服务端，收到应答报文后做MD5签名验证等后续处理。由于客户端和服务端之...

java代码保存数据到mysql的同时需要保存一份到es，由于对象字段很多，建两个实体类分别写值保存到mysql、es的话会比较繁琐，简单的方法就是公用一个实体...

fastjson是阿里巴巴的开源JSON解析库，能够对json格式数据做快速修改和转换。

你可以编写自定义的序列化器（Serializer）和反序列化器（Deserializer），并将它们应用到特定的类或属性上。通过实现 JsonSerialize...

Java 序列化及反序列化处理在基于Java 架构的Web应用中具有尤为重要的作用。例如位于网络两端、彼此不共享内存信息的两个Web应用在进行远程通信时，无论相...

最近在代码迁移过程中，遇到了 JSON 解析失败的问题。具体表现为出现 "Cannot deserialize instance of java.lang.St...

在热衷于开发爬虫的日子，我一般都是使用Python。但是我第一个自学的语言是Java，工作也是和Java紧密联系。难道是Java不能写爬虫吗，相反我第一个爬虫程...

java.lang.ClassLoader是java中负责类加载的抽象类，类中包含一个特别重要的方法defineClass,它用于将字节数组（代表一个类的字节码...

在社区中，较少看到关于“失败”案例的文章。本文将记录一次在负载均衡场景下失败的 fastjson 漏洞利用案例。

与原生的 Java 反序列化的区别在于，FastJson 反序列化并未使用 readObject 方法，而是由 FastJson 自定一套反序列化的过程。通过在...