-
序列化过程分析
-
反序列化的分析
-
漏洞利用
-
总结
=====================================================================
在前面的一篇文章:Apache Shiro Java反序列化漏洞复现 曾介绍了 CVE-2016-4437 漏洞的复现过程和利用方式,为了不再当个“脚本小子”工具人…本文将记录学习下从源码审计的角度分析 CVE-2016-4437 漏洞的原理。
===========================================================================
同样的在前面一篇博文:Java-序列化与反序列化 已经讲述了 Java 序列化和反序列化的概念,此处简单再描述下。
把对象转换为字节序列的过程称为对象的序列化;把字节序列恢复为对象的过程称为对象的反序列化。
对象的序列化主要有两种用途:
-
把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中(持久化对象);
-
在网络上传送对象的字节序列(网络传输对象)。
当两个进程在进行远程通信时,彼此可以发送各种类型的数据。无论是何种类型的数据,都会以二进制序列的形式在网络上传送。发送方需要把这个Java 对象转换为字节序列,才能在网络上传送;接收方则需要把字节序列再恢复为 Java 对象。
Java序列化实例
来看一个实际的例子:
import java.io.Serializable;
public class People implements Seri