在使用springmvc时，我们通常会定义类似这样的通用类与前端进行交互，以便于前端可以做一些统一的处理： 这样的类序列化为json后，js反序列化处理起来毫无压力。但是如果rest接口的消费端就是java呢，java泛型的类型擦除却容易引入一些障碍。 一个反序列化的迭代 先定义一个类 ...

这个问题之前就遇到了，虽然猜到有现成解决办法，但是一直没有正面解决，今天找到了解决方案，mark一下。 主要就是一个TypeReference的使用。 直接上代码比较容易看懂。 1.泛型 这是一个示例的模板类 2. 反序列化 ...

fastJson反序列化为类对象时，反序列化赋值的属性只会是你构造器上写的属性。 所以部分属性值为null的原因是属性没有加在构造器上的原因。 直接加个无参数的默认构造器即可解决。或者把null属性加构造器上。 如下图 基类的两个属性不会被反序列化赋值！需要加上默认 ...

poc如下，dataSourceName 为rmi://localhost:1090/evil: RMIServer代码如下： 调试过程如下： 加载com.sun.rowset.Jdb ...

Fastjson 远程代码扫描漏洞复现 环境搭建 1）反序列化攻击工具源码下载：https://github.com/mbechler/marshalsec 使用maven命令：mvn clean package -DskipTests 编译成.jar文件 启动(默认端口1389 ...

目录 前言 一、环境搭建和知识储备 1.1、影响版本 1.2、Docker搭建环境 二、复现过程 2.1、fastjson1.2.24 2.2、fastjson1.2.47 前言 ...

环境参考第一个链接，直接用IDEA打开 编译EvilObject.java成EvilObject.class 先看poc，其中NASTY_CLASS为TemplatesImpl类，evilCode是EvilObject.class base64编码: 下面看下Poc是怎么构造 ...

fastjson介绍 1. 什么是fastjson? fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到Java Bean 2.fastjson的优点 2.1 速度快 ...