Ye's Blog

漏洞成因开发者为了以某种存储形式使自定义对象持久化同时实现将对象从一个地方传递到另一个地方通常会在程序中引入序列化和反序列化两种操作。 但是如果程序未对用户输入的序列化字符串进行检测，导致攻击者可以控制反序列化过程，通过在参数中注入一些代码，从而达到代码执行、SQL 注入、目录遍历等不可控后果，危害较大。 反序列化漏洞造成的危害主要取决于类与对象可以实现的操作，本质上反序列化漏洞是由于反序列...

反射机制获取Class对象 forName方法 用法：Class.forName(String className) 类名.class 用法：className.class getClass方法 用法：Object.getClass() 其中Object应为上下文中已经实例化的类的对象。 classLoader.loadClass方法 用法：classLoader.loadC...