如何快速理解java反序列化漏洞

瓦批转java安全： 很久之前看过一会转来转去又回来了，在我看来所谓的命令执行漏洞就是把用户输入当中代码执行，在java反序列化中也是如此，这里为什么重点强调反序列化，因为反序列化能将一个java类当做输入（或者说函数参数）又或者是调用输入对象自身的方法，这是将用户输入当作代码执行的关键一步 以hashmap类为例子，为了在网络中传输hashmap类，会将其序列化，服务端接收后进行反序列化，反序列化过程中会调用hashmap重载后的readObject方法 新手可能会有的疑惑： 我直接自己写个恶意类，直接...【查看原文】