ysoserial 最早在 AppSecCali 2015 演讲 "Marshalling Pickles: how deserializing objects will ruin your day" 中发布，包含适用于 Apache Commons Collections (3.x 和 4.x)、Spring Beans/Core (4.x) 和 Groovy (2.3.x) 的 gadget 链。后续版本增加了对 JRE <= 1.7u21 和其他常见 Java 库的支持。 - View it on GitHub