基于函数功能快速搜索
文件写入:FileOutputStream、FileWriter、MultipartFile、unzip、ZipEntry、decompress、rename
反序列化:ObjectInputStream、readObject、readExternal
命令执行:Runtime.getRuntime()、ProcessBuilder
代码执行:ScriptEngineManager、ELProcessor、BshSciptEngine、GroovyShell、VelocityEngine
JNDI注入:InitialContext、InitialLdapContext、InitialDirContext
根据依赖库的线索快速搜索
Fastjson:parseObject、parseArray、parse
XStream:frorqXML
XMLDecoder:readObject、new XMLDecoder
Hessian:readObject、HessianInput、Hessian2Input
DBstep:MsgFileSave、SavePackage
配置不当导致的安全问题
Spring OXM XStream配置
Hibernate-validator配置导致EL表达式注入
Spring http-invoker反序列化漏洞
Spring Boot+Thymeleaf SPEL表达式注入
Shiro2开启debug模式(devMode=true)