jackson的二次反序列化分析

jackson的二次反序列化分析jackson 调用 getter 方法这条链子在平时 CTF 比赛中用的非常多，一个是因为 spring boot 框架自带 jackson 依赖，二是它反序列化没有黑名单。而一般遇到重写了 resolveClass 方法的黑名单，常用的是 jackson+SignedObject 二次反序列化进行绕过。SignedObject 二次反序列化该类是 java.se

一	二	三	四	五	六	日
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30	31

留言 取消回复

留言取消回复