在这边文章将讲述： 1.Java语言的基础，从JVM角度讲述java程序运行的模型，如jvm内存模型，在脑海形成java语言编程到运行的概念； 2.类加载与应用：理解作为Java程序的基本元素Class字节码，Class对象，Class对

一、前言在学习java反序列化漏洞的时候，看到有采用 notsoserial 的黑白名单javaagent机制实现对Java反序列化漏洞的修复 java 在运行时候提供参数 -agentlib:[=] 加载本机代理库 , 例如 -a

一、简介MyBatis 本是Apache的一个开源项目iBatis, 2010年这个项目由Apache Software Foundation 迁移到了Google Code，并且改名为MyBatis。MyBatis是一款优秀的持久层框

随着各种JAVA指定环境RCE漏洞的出现，Java Web的安全逐渐被人们所重视，与漏洞相关的还有用于后期维持权限的Webshell。与PHP不同的是，JSP的语言特性较为严格，属于强类型语言，并且在JDK9以前并没有所谓的eval函数。

在《JavaSec JNDI注入利用分析》中JNDI支持访问多种命名与目录服务，其中就有利用RMI达成RCE的目的。RMI（Remote Method Invocation）远程方法调用可以类比RPC，这里将以下要点总结RMI的利用原理：

在fastjson反序列化漏洞利用的学习中引出了JNDI的利用攻击方式，JNDI(Java Naming and Directory Interface)实际可以理解为一个编程接口，通过API的操作可以操作后端命名服务或者目录服务，如loo

在上篇《JavaSec Java反序列化漏洞利用》中指出，不安全的输入字节流参与甚至改变了程序的执行流是Java反序列化漏洞利用的成因，对于从字节序列反向实例化对象除了Java Serialize外，还有json,xml等传输数据格式，其中

在《JavaSec FastJson反序列化漏洞利用原理》中分析了FastJson的反序列化漏洞成因，也总结了FastJson的反序列化利用方式，这里将复现一些有关FastJson的漏洞利用，以清晰了解FastJson的漏洞发展史，从中吸取

在上篇《JavaSec FastJson反序列化漏洞利用原理》中介绍了FastJson的基本使用与及fastjson在解析json串还原对象状态的逻辑及其中的利用点，而FastJson的修复方式也是仅仅加一些黑名单限制和一些字符处理，但都有

在《JavaSec Jackson反序列化漏洞原理》中分析Jackson反序列化漏洞的成因，也总结了一些了Jackson的反序列化漏洞利用方式，这里将以Jackson的漏洞复现为主，以理清Jackson的漏洞发展史，从中吸取一些攻防经验。

Java反序列是一个将对象转换为字节流的机制，是在json,xml数据格式之外的一个数据传输格式，是Java原生支持的。但是不安全的序列化与反序列使用存在安全风险，这是对不可信的输入数据没有严格的校验改变了程序的执行流程，达到任意代码执行等