Java安全杂烩（二） Fastjson反序列化 Fastjson简介 Fastjson是阿里巴巴的开源JSON解析库，它可以解析JSON格式的字符串，支持将Java Bean序列化为JSON字符串，也可以从JSON字符串反序列化到JavaBean。Fastjson在阿里巴巴大规模使用，在数万台服务器上部署，Fastjson在业界被广泛接受。在20…

Java安全杂烩（一） 0x01.JNDI在RMI中协议面临的攻击面 在RMI中，服务端可以绑定一个对象，客户端查找该对象时以序列化数据返回，服务端也同样支持绑定对象的引用，返回给客户端指定地址以获得这个对象 如下图所示，我们构建一个恶意的服务端，并且绑定了一个对象引用（注意这里的类应为全称）： 当客户端进行lookup rmi://127.0.0…