我猜 spring devtools 的反序列化讲的少的原因:

  1. 引入了spring-boot-devtools 依赖但是开发没设置 secret 时,没办法远程利用;
  2. 正常开发中,就算引入了spring-boot-devtools ,打包成 jar 时也不会包含它,除非像文中一样,开发者手动加上 <optional>true</optional> 选项,才真的会打包 spring-boot-devtools,有点人造漏洞的意思。
  3. github 搜索下相似代码和配置可以发现,这种漏洞配置正常开发环境下比较难遇到。