1778
(1)
序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于反序列化,将字符串对象先进行序列化,存储到本地文件,然后再通过反序列化进行恢复
问题在于,如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。
1095
4119
5.0评分
2064
2630
0.0评分
3266
3480
高级培训讲师,具有丰富比赛支持经验、渗透测试经验,精通各类安全竞赛形式。近年来主要负责渗透攻防和ctf等信息安全竞赛培训和比赛支持工作。
好评
