Preface CVE-2017-18349 是 fastjson 在 1.2.24 及之前版本存在的反序列化漏洞。fastjson 通过 @type 指定反序列化的任意类，攻击者可以通过在 Java 常见环境中寻找能够构造恶意类的方法，通过反序列化的过程中调用的 getter/setter 方法，以及目标成员变量的注入来达到传参的目的，最终形成恶…

Preface 在前文中，我们介绍了 Java 的基础语法和特性和 fastjson 的基础用法，本文我们将深入学习fastjson的危险反序列化以及预期相关的 Java 概念。 什么是Java反射？ 在前文中，我们有一行代码 Computer macBookPro = JSON.parseObject(preReceive,Computer.cl…

Preface 此篇系列文章将会从 Java 的基础语法开始，以 Fastjson 的各个反序列化漏洞分析为结尾，详细记录如何从一个具有基础面向对象编程但毫无 Java 基础的小白成长为了解 Fastjson 的各个漏洞并能够熟练利用的网络安全人员。 环境配置 我们使用 IDEA 作为开发的 IDE（社区版或专业版均可，我使用的是IDEA 2024…