关于前面浅蓝的文章的几个补充。精确判断网站访问者是否是黑客的方法

@...

骚

精确判断...

p师傅，请教一下，class类名部分可控 例如$c=new ...

@路人甲:

P神，您好呀，关于那个xstream最近刚出的漏洞(CVE-2021-21351)复现的问题，我是跟着XStream远程代码执行漏洞复现(CVE-2021-21351) - Hunter-0x07's ...这个大牛师傅做的但是我这没复现成功，我的jdk版本是1.8.0_201，然后idea回显与博主也是一样的，然后命令行就到send那一步就没了，不知道是版本问题还是poc问题？所以想请教一下您，不知道这个提问符不符合规范，如不符合还请谅解，我还是个新手小白，谢谢您。

比较简单，本来不想回答的，但是我比较宠粉[旺柴]，还是答一下。

你问的XStream CVE-20...

我这个人有个意识，但凡不是我自己研究出来的东西，或者不是已广为流传的东西，我都会把出处写明确，尽量不...

@冒牌高富帅:

p师傅你好，想问一下对于组件类的源码，你平时代码审计的时候是如何做威胁建模的？比如我在看javamail组件，是一个发送接收邮件的组件。

“威胁建模”这术语整高端了……我知道的就是按照功能点来看代码。比如mail组件（不仅限于JavaMa...

@路人甲:

p师傅在rmi利用codebase执行代码的实验中运行server端的时候一直报一个错误，显示加载不到主类，classpath是配置好的，然后查找了一些资料还是没解决，所以问问p师傅。

提示了找不到主类...

@等待。:

P师傅,我想写个java漏洞利用的那种可视化的一键工具，我最近查找了网上很多资料，也查看了github一些开源的代码文件，效果不是很好，想请问您在这方面有没有推荐的实现方式。

推荐Jetbrains IDEA 使用 J...

搞安全，写东西选择哪种编...

这段时间比较忙，各种跑来跑去，所以XStream CVE-2021-29505出来的时候没研究原理，...