Java XMLDecode反序列化

Java XMLDecode反序列化前言正常遇到的有关于xml攻击思路定格在dtd的利用上，有关语言类的xml攻击却很少见，本文探讨xml反序列化攻击在java上的应用。JAVA XML序列化举例java序列化xml实体输出反序列化举例java反序列化序列化xml实体输出攻击方式构造xml实体输出反序列化链分析先给出完整调用栈(到Expression)逐步分析1.先下断点上一句断点跟入发现只做了初始化和载入input数据，如果跟入可以发现其处理xml的所有handle类型2.进入调试后跟进再跟进这里可以看到调用handle下parse处理我们输入的input数据，下断点直接步进至断点处两次步进到发现再次调用流量handle的parse方法处理我们的传入数据步进至前面大部分都在对handle进行预处理，下断点，继续跟进跟进到SAXParser主类，判断handle ………………………………