Hessian反序列化RCE漏发复现及分析
# Hessian反序列化RCE漏洞复现与分析
## 1. 漏洞概述
Hessian是一个轻量级的RPC框架,基于HTTP协议传输,使用Hessian二进制序列化。该框架存在反序列化漏洞,可导致远程代码执行(RCE)。此漏洞早在2017年就公开了POC,但测试发现最新版本hessian-4.0.60.jar仍然存在此问题。
## 2. 漏洞原理
Hessian框架在处理客户端请求时,通过`com.caucho.hessian.server.HessianServlet`的`service
2025-08-26 06:48:37
0