l_l_c_q的博客

fastjson中的原生反序列化漏洞（仅分析了1.2.68版本）

**摘要：**本文分析了JNDI注入攻击原理，特别针对高版本JDK环境。当客户端通过lookup方法从恶意RMI服务器获取资源引用时，若服务器返回包含远程代码库的Reference对象，客户端将自动加载并执行恶意类字节码(如EvilClass.class)。文章详细描述了RMI客户端与服务端的交互流程，并对比了JDK8u66和JDK17中不同的类加载调用链，指出只要lookup参数可控就存在JNDI注入风险。

java反序列化漏洞_CC链

CVE-2025-24813漏洞复现和代码审计

Java RASP是一种运行时应用自保护技术，通过在应用运行时嵌入安全防护机制，实现对应用行为的实时监控和攻击防护。其核心功能包括应用内嵌、实时监控、上下文感知、行为分析和实时响应。在Java平台中，主要通过Java Agent和Instrumentation API实现，利用字节码操作技术（如ASM、Javassist）在关键API调用处插入检测逻辑。文章还通过示例演示了如何编译和解析Java类文件，展示了类结构和字节码信息，为理解RASP底层实现提供了技术基础。

使用codeql自定义ql规则集，前面部分基本都照搬官方文档，算是笔记，可以重点关注全局污点跟踪，然后根据文章最后面的Sql原生注入示例自行去编写规则集即可

命令注入（java速查）

freemarker模版注入

XSLT模版注入

jackson反序列化漏洞及POC