JAVA反序列化漏洞浅析
JAVA反序列化与ObjectInputStream关于ObjectOutputStream:
ObjectOutputStream:对象的序列化流,作用:把对象转成字节数据的输出到文件中保存,对象的输出过程称为序列化,可实现对象的持久存储。
关于ObjectInputStream:
ObjectInputStream 反序列化流,将之前使用 ObjectOutputStream 序列化的原始数据恢复为对象,以流的方式读取对象。
在JAVA中,利用ObjectinputStream的readObject方法进行对象读取时,如果,目标对象已经重写了readObject方法,那么此时就会执行已经被重写的readObject如下:
123456789101112131415//创建一个MyObj类,此时MyObj类需要继承Serializable才能进行序列化和反序列化public class MyObj implements Serializable{ private String name; private void readObject(java.io.Object ...