1.概述
2. Java反序列化定义
Java 提供了-种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字
节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。
Java反序列化则是从一个源输入流中读取字节序列,再把它们反序列化为一个对象,并将其返
回。
Java反序列化漏洞的成因是攻击者通过序列化函数将自己精心构造的恶意对象序列化,将序列化数据发送到目标服务器的反序列化接口,当服务器在没有对序列化数据进行有效的安全验证,直接对序列化数据进行反序列化处理,执行恶意对象中的代码,造成攻击
。
3. 案例
这个案例在反序列化的时候,会调用计算器。