源码审计 下载附件得war包,bandzip解压一下,审一下源码: 这个没啥东西。 反序列化入口,但是访问这里是需要绕过的: 其实绕过也很简单,双斜杠就绕了:web.xml filter 绕过匹配访问(针对jetty)_jetty权限绕过-CSDN博客 看lib里有啥依赖: fastjson1.2.