Finding Gadgets Like It's 2026: Auto-Trigger Deserialization Gadget Chain on JDK 17/21/25 and Spring Boot 3.2.x-4.0.5(KOR)

Victims Code 해당 체인은 타겟 서버에 아래와 같은 역직렬화 로직이 있다고 가정한다. new ObjectInputStream(input).readObject(); 타겟 서버에서 이 한 줄이 실행되는 순간, 우리가 만든 Java 직렬화 바이트 스트림이 객체 그래프로 복원되기 시작한다. 우리는 이미 이 input에 미리 조작한 HashMa...

Apr 19, 2026 Research

Finding Gadgets Like It's 2026: Auto-Trigger Deserialization Gadget Chain on JDK 17/21/25 and Spring Boot 3.2.x-4.0.5(KOR)

Finding Gadgets Like It's 2026: Auto-Trigger Deserialization Gadget Chain on JDK 17/21/25 and Spring Boot 3.2.x-4.0.5(EN)

Trending Tags