jackspoilt在xalanjava源码中发现的上下文反序列化漏洞可导致远程代码执行（RCE）

xalan java源码我们在证明什么 Jackson 数据绑定反序列化漏洞 应用环境 基于Spark框架的微服务() 取决于 com.fasterxml.jackson.core:jackson-databind:2.8.8 夏兰：夏兰：2.7.2 不安全的反序列化（多态类型） 不可信输入接受 目录结构 src/... : 描述反序列化利用的源代码（使用） 漏洞利用：为DeSerializaiton漏洞制作小工具/利用的源代码 攻击脚本：其他 shell 脚本，用于在应用程序服务上引发正常和恶意请求 我怎样才能使用它？ 启动 shell 提示（启动易受攻击的 Web 实例） git 克隆 cd 困境 mvn 包 启动应用服务器： java -jar target/jackspoilt-1.0-SNAPSHOT.jar 启动 shell 提示（创建小工具或漏洞利用） cd 困境 mvn exec:java -D"exec.mainClass"="EncodeExploit" 上面的命令在attackscripts目录中创建attack.json cd 攻击脚本 ./add.sh ./l