尝试了很久，才敢说明白了Shiro Padding Oracle反序列化漏洞的基本原理，内容有点多，分上下两篇分析一下

尝试了很久，才敢说明白了Shiro Padding Oracle反序列化漏洞的基本原理，内容有点多，分上下两篇分析一下

大学里卖给同学的几篇毕业设计里有点技术含量的，工作了还写成专利换了几个钱，过年了收拾硬盘翻出来改一改记录一下

Log4j 1.2.X版本的CVE-2019-17571分析，以前没分析过，所以回顾历史Log4j 2.X版本的CVE-2017-5645

承接上两篇，学习了一下Spring框架以后，分析一下Spring的一些历史漏洞，这篇分析Spring Data Commons 远程命令执行漏洞（CVE-2018-1273）

承接上篇，学习了一下Spring框架以后，分析一下Spring的一些历史漏洞，这篇分析Spring Data Rest 远程命令执行漏洞（CVE-2017-8046）

学习了一下Spring框架以后，分析一下Spring的一些历史漏洞，找一些网上有环境的比较严重的漏洞分析，这篇分析Spring Security OAuth2的两个远程命令执行漏洞

Spring Security框架和源码学习，认证与授权，过滤链

作为一个手艺人，只有if-else这样的代码能感到让人安心，Java框架里的各种XML配置实在让我觉得无语，因为完全看不清实现是怎么样的，和平常写代码差距实在太大，就一直没学，要克服克服，学学原理

记录搭建Spring的环境，根据《精通Spring 4.x 企业应用开发实战》搭一个有一点点复杂的Demo

设计模式其实我都看过，但是写代码用到不多，理解不深刻，也没背，重点学习一下Java代理模式，是因为Java动态代理在很多框架中用到，不学实在看不懂

之前学Struts2的时候源码里用到了注解，用来将对象注入到容器中，看了个似懂非懂，如今重新学习一遍

记录一些自己学习过的gadget，和看过的一些比较好的资料，会不断更新

fastjson最新的反序列化漏洞和历史漏洞分析

根据猪猪侠在先知白帽大会的PPT写的爬虫，实践过一段时间后的心得体会

承接上两篇，先通过上两篇的分析说说数据流转，然后看struts2的修复历史，在谈自己的一些思考

承接上一篇，通过s2-007的分析讲讲请求包与struts2数据流转造成的RCE的漏洞定位方式

这篇文章原来是我的s2-001漏洞分析文章，如今翻新一下，写一个短系列，讲讲对Struts2的基于OGNL的RCE漏洞的分析，这一篇写写不通过代码diff怎么定位漏洞所在

Struts2初始化和运行期逻辑的两条主线，尽量完善对整个Struts2体系结构的认识

Struts2中真正处理请求响应的XWork框架的大致实现，对它在数据流和控制流中各个元素有一个较为清晰的认识，同时谈谈Java大型框架中都需要考虑的容器问题