这篇文章主要介绍如何通过maven工具构建javaagent，实质原理相同，只是借助maven工具更符合工作中的应用场景，所以简单介绍下，同时将着重介绍一种在运行时引入javaagent的方法。一、利用maven工具构建javaagent1、创建maven项目2、按照前文中的方法创建Agent类，并正确编写permain(String,Instrumentation)方法3、编写m...

前言（可忽略）：近来因为公司要对我所负责的系统进行安全性的检测，项目需要引入VulHunter这个工具，引入的方式正是在Web容器上添加javaagent作为JVM参数，如：-javaagent:/home/haye/vulhunter.jar。这种引入对我的项目代码本身可以说是零侵入，但却实实在在的扫描到了项目存在的漏洞，对此甚为好奇，遂决定研究下javaagent的用法。javaagent..

在了解javaagent的创建后，今天将尝试一种更高级的用法——类替换，并用其实现Http请求地址的记录功能。javaagent允许我们在项目启动时的类加载阶段或者项目运行后进行类的替换，两者的替换方式相同，都是借助入口函数Instrumentation对象进行操作，回顾下两种方式的入口函数：1.perman入口函数，由JVM参数配置在程序启动时的类加载阶段引入详见《Java探针-javaagen

漏洞介绍攻击者可以利用此漏洞通过JNDI注入的方式执行本地Web容器下的任意代码，后文中将测试LDAP方式的远程代码调用，受影响版参见：NVD。修复建议网上能找到的大部分修复建议是将jackson-databind的版本升级到2.9.10.4或后续版本，此方法的确行之有效，但是对于使用JDK1.6的老项目就比较尴尬，因为至2.8版本后jackson-databind字节码不再兼容JDK1.6...