Yaml.load() yaml反序列化入口
XStream.fromXML() Xstream反序列化入口
ObjectMapper.readValue() FasterXML反序列化入口
Fastjson Sink
com.alibaba.fastjson.JSON.parseObject(sink)
com.alibaba.fastjson.JSON.parse(sink)
Apache POI Sink
org.apache.poi.ss.usermodel.Workbook.getSheetAt
Apache Shiro Sink
Shiro是一个Java安全框架,可以用来做身份验证跟访问控制。
Shiro 550漏洞 Shiro<=1.2.4
CookieRememberMeManager
Shiro 721漏洞
https://s.tencent.com/research/report/114
Apache Shiro身份验证绕过漏洞(CVE-2021-41303)风险通告
Shiro < 1.8.0
若有收获,就点个赞吧
0 人点赞
