Deserialization Bombs detects Java dependencies 2024-1-28 10:21 | 138 | Java | 0 | 2024-1-28 10:21 292 字 | 4 分钟 当你找到了一个反序列化的点,但是不确定目标存在哪些依赖,从而无法及时构造出合适的 Gadget,实在是令人可惜。那么有没有办法 fuzz 出目标的 class 呢?反序列化炸弹的方式可以做到! 原理:通过构造特殊的多层嵌套 HashSet,导致服务器反序列化的时间复杂度提升,消耗服务器性能,导致延时确认 class。 示例: package yso… fuzzjava