WebLogic是美国Oracle公司出品的一个application server，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。

Struts2是一个基于MVC设计模式的Web应用框架.(Struts2是一个基于MVC设计模式的Web应用框架). Struts2的核心是使用的webwork框架，而webwork又是使用的XWork来处理action的，并且通过调用底层的getter/setter方法来处理http的参数，它将每个http参数声明为一个OGNL语句.

Apache Struts2的REST插件存在反序列化漏洞，使用XStream组件对XML格式的数据包进行反序列化操作时，未对数据内容进行有效验证，存在安全隐患，可被远程攻击。

SSTI就是服务器端模板注入（Server-Side Template Injection），实际上也是一种注入漏洞；可以类比于SQL注入，实际上这两者的基本思想是一致的；

Spring Security OAuth使用whitelabel views 来处理错误时,response_type参数值会被当做Spring SpEL来执行，恶意攻击者通过构造response_type值可以触发远程代码执行漏洞 Spring Security OAuth2使用SpringMVC实现Web接口。该漏洞出现在授权接口 /oauth/authorize，该接口需要登录后才能访问。

Spring Cloud Gateway 是由 spring 官方基于 Spring5.0、Spring Boot2.x、Project Reactor 等技术开发的 网关,作用为,安全认证，鉴权，限流，负载均衡，黑白名单，日志监控，性能监控，路由.

Spring Expression Language(简称SpEL)是一种功能强大的表达式语言，是spring提供的，该语言类似于JSP当中的EL表达式。但提供了很多额外的功能，最出色的就是函数调用和简单字符串的模板函数。他需要使用spring提供的解析器来解析，但是他不依赖于spring，可以独立使用。 框架的核心功能之一就是通过依赖注入的方式来管理Bean之间的依赖关系，而SpEl可以方便快捷的对ApplicationContext中的Bean进行属性的装配和提取。

nakeYaml是一个完整的YAML1.1规范Processor，支持UTF-8/UTF-16，支持Java对象的序列化/反序列化，支持所有YAML定义的类型

Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 Shiro提供了应用程序安全性API来执行以下方面：

OGNL是一个功能强大的表达式语言，用来获取和设置 java 对象的属性 ，它旨在提供一个更高抽象度语法来对 java 对象图进行导航。 OGNL具有三要素: 表达式、ROOT对象、上下文环境 表达式: 显然,这肯定是其中最重要的部分,通过表达式来告诉OGNL需要执行什么操作。 ROOT对象: 也就是OGNL操作的的对象,也就是说这个表达式针对谁进行操作。 上下文环境: 有了前两个条件,OGNL就能进行执行了,但是表达式有需要执行一系列操作,所以会限定这些操作在一个环境下,这个环境就是上下文环境,这个环境是个MAP结构。

Log4j是Apache的一个开源项目，通过使用Log4j，我们可以控制日志信息输送的目的地是控制台、文件、GUI组件，甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等；我们也可以控制每一条日志的输出格式；通过定义每一条日志信息的级别，我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是，这些可以通过一个配置文件来灵活地进行配置，而不需要修改应用的代码。

简介 JBoss是一个管理EJB的容器和服务器，支持EJB 1.1、EJB 2.0和EJB3的规范。 漏洞原理 该漏洞为 Java反序列化错误类型，存在于 Jboss 的 HttpInvoker 组件中的 ReadOnlyAccessFilter 过滤器中。在/invoker/readonly路径下，攻击者可以构造序列化代码传入服务器进行反序列化,由于没有对反序列化操作进行任何检测，导致攻击者可以执行任意代码。