# 前言    如果你没有反序列化的基础，建议你看笔者博客文章先将基础学习一下。如果你没有学习分析过ysoserial--Gadget--URLDNS，建议你看笔者之前发过的文章学习一下。如果你是大佬，前面当笔者没说。   Java的第一

前言   Java的反序列化漏洞探索出了Java安全的新纪元。开发人员为什么要反序列化呢？众所周知，用户和服务器进行交互时，会传输一下数据，数据传输前需要格式化，将数据转化成服务器认可的格式。比例：JSON、XML。   JSON和XML的

前言一篇文章读懂Java代码审计之XXE看过我这篇博客应该不难，没看过建议在看看。 题解下载了所有的class发现需要上传xlsx poi开头必须是execl 新建execl -1.xlsx文件，修改后缀名execl-1.xlsx.z

前言首发：https://www.sec-in.com/article/309   通过前两章的了解，大家对Java反射机制有了一定的认知。本章作为反射篇的最终章，如果从反序列化的层面来说Java反射的具体危害，需要一些反序列化的基础知识。

前言首发：https://www.sec-in.com/article/307   众所周知，Java目前影响最大的是反序列化漏洞，换一句话说Java安全是从反序列化漏洞开始，但反序列化漏洞又可以基于反射，这次笔者带你走进Java安全的大门

前言首发：https://www.sec-in.com/article/307   欢迎回来，上回说到Java反射机制基础知识，并用简单代码做了一个简单的Demo。  笔者从执行命令的角度来展开话题，看这篇文章大部分都是网络安全的从业者亦或

前言文章首发：https://www.sec-in.com/article/299  2015年Gabriel Lawrence(@gebl)和Chris Frohoff(@frohoff)在AppSecCali大会上提出的利用Apache

   解决Skipped breakpoint at %code reference% because it happened inside debugger evaluation的通用方法。 先尝试去掉勾选 Enable 'tostri