5.3.11.2. 反序列化
- Java 14 Object Serialization Specification
- Marshalling Pickles how deserializing objects can ruin your day
- AppSecCali 2015: Marshalling Pickles
- More serialization hacks with AnnotationInvocationHandler
- Pure JRE 8 RCE Deserialization gadget
- Breaking Defensive Serialization
- Java反序列化漏洞从入门到深入
- Java反序列化漏洞通用利用分析
- JRE8u20反序列化漏洞分析
- WebLogic反序列化漏洞漫谈
- 从WebLogic看反序列化漏洞的利用与防御
- JSON反序列化之殇
- 浅析Java序列化和反序列化
- Commons Collections Java反序列化漏洞深入分析
- FAR SIDES OF JAVA REMOTE PROTOCOLS
- JDK8u20反序列化漏洞新型PoC思路及具体实现
5.3.11.4. 框架
- Struts
- Struts Examples
- Eclipse Jetty
- SpringBootVulExploit SpringBoot 相关漏洞学习资料,利用方法和技巧合集,黑盒安全评估 checklist
5.3.11.6. JNDI
- Overview of JNDI
- 关于 JNDI 注入
- A Journey From JNDI LDAP Manipulation To RCE
- ` 如何绕过高版本JDK的限制进行JNDI注入 <https://www.freebuf.com/column/207439.html>`_