阿里巴巴开源的FastJson 1反序列化漏洞复现攻击保姆级教程
FastJson为了知道提交过来的数据是什么类型,特别增加了自动类型(autotype)逻辑(即:每次都需要读取【@type】属性造成该漏洞;Fastjson反序列化的Gadget需要无参默认构造方法或者注解指定构造方法并添加相应参数。使用Feature.SupportNonPublicField才
FastJson为了知道提交过来的数据是什么类型,特别增加了自动类型(autotype)逻辑(即:每次都需要读取【@type】属性造成该漏洞;Fastjson反序列化的Gadget需要无参默认构造方法或者注解指定构造方法并添加相应参数。使用Feature.SupportNonPublicField才
