2301_79783285的博客

→ 连接攻击者 RMI→ 获取 Reference("Exploit", "http://evil/")→ 从 http://evil/Exploit.class 下载字节码→ newInstance() → 执行 static{} → RCE是唯一一个主动从远程 URL 加载并实例化类的地方，因此它是整个 JNDI 注入漏洞的“最后一公里”和根本原因。比较有名的CVE-2023-21839、Log4j JNDI RCE 等这里简单拿CVE-2023-21839进行讲解大致的简单触发流程图。

步骤作用序列化将转为字节数组，存入内存流反序列化从字节数组重建Person对象，不调用构造函数，但会自动回调（如果存在）安全意义如果中包含危险操作（如执行命令、触发反射链），攻击者可通过伪造字节流实现 RCE💡 这就是为什么“不要反序列化不可信数据”是 Java 安全的黄金法则！

spring aop注释

Bean注解作用使用位置是否必须@Component注册 Bean类✅@Service业务层 Bean类✅（语义化）数据层 Bean类✅（异常翻译）控制层 Bean类✅（MVC）@Autowired自动注入字段/方法/构造器✅@Qualifier指定 Bean 名字段/参数配合@Autowired@Value注入值字段✅配置类类✅@Bean定义 Bean方法✅扫描包配置类✅@Scope设置作用域类/方法可选初始化方法可选销毁前方法可选。

String类自身有一个最大的缺陷：内容一旦声明则不可改变，JDK为了方便用户修改字符串内容提供了StringBuffer类StringBuffer类不像String类那样可以直接通过声明字符串常量方式进行实例化，而是必须像普通类对象使用一样，首先通过构造方法进行对象实例化，而后才可以调用方法进行处理。No.方法类型描述1构造创建一个空的StringBuffer对象2构造将接受到的String内容变为StringBuffer内容3。

如果同时导入了不同包中名称相同的类，这时候就使用的时候就需要使用这个类的完整名称。如：hh.gg.util.Message msg = new hh.gg.util.Message();利用静态导入的优点在于，不同类的静态方法就好像在主类定义的一样，不需要类名称就可以直接进行调用。抽象类使用abstrat class进行定义，并且在一个抽象类中也可以利用abstract关键词定义若干个抽象方法，这样抽象类的子类就必须在继承抽象类时强制覆写全部抽象方法。