上周日与@Ar3h师傅在代码审计知识星球发布了Springboot挑战，探讨PSQL JDBC注入漏洞的离线利用。文章分为两部分：第一部分介绍Apache Hertzbeat的反序列化漏洞，第二部分讨论挑战的预期与非预期答案。Hertzbeat使用SnakeYAML解析YAML，存在反序列化漏洞，作者分析了漏洞历史及利用链，并提出了离线利用方法。最终，Hertzbeat在新版本中修复了该漏洞。

介绍了开源实时监控工具HertzBeat的特点和能力，以及如何通过华为云商店安装部署HertzBeat。HertzBeat支持对应用服务、数据库、操作系统、中间件、云原生、网络等监控，具有更自由化的阈值规则和多种告警消息渠道。华为云商店提供了一键部署HertzBeat的服务，用户只需支付云服务器费用，华为云会给开源团队一定的云服务器费用分成来资助开源团队的发展。