网络安全。

静态分析代码流程：先看方法有没有声明，没有声明使用 jd-gui 反编译工具 search 搜索要跳转的类方法，定位到后再去 idea 里查看有无声明，再无声明可结合 jd-gui、jar-analyzer工具搜索查找。动态分析：每一步都可以打断点动态分析一下，可以随时在每一步骤中用到的方法进行断点分析。

对于任意一个类，都能知道这个类的属性和方法；对于任意一个对象，都能够调用它的任意一个方法；这种动态获取信息以及动态调用对象方法的功能称为 java 的反射机制。

序列化是指把Java代码转化为字节序列的过程；而反序列化时指把字节序列恢复为Java对象的过程。序列化分为两大部分：序列化和反序列化。序列化是这个过程的第一部分，将数据分解成字节流，以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对象。对象序列化不仅要将基本数据类型转换成字节表示，有时还要恢复数据。恢复数据要求有恢复数据的对象实例。

Apache Shiro框架提供了记住密码的功能（RememberMe），用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值，先base64解码然后AES解密再反序列化，就导致了反序列化RCE漏洞。那么，Payload产生的过程：命令 -> 序列化 -> AES加密 -> base64编码 -> RememberMe Cookie值。

CommonsCollections1-TransformedMap