01 2016 档案

摘要:Java反序列化漏洞研究 漏洞原理 java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。当反序列化的输入来源于程序外部,可以被用户控制,恶意用户便可以构造恶意的字节流,经反序列化之后得到精心构造的恶意对象。 也就是说一些java应用的数据在网络中传输,我们把里面的序列化数据抠出来,替换成我们的payload,应用程序接收之后把payl... 阅读全文
posted @ 2016-01-12 16:04 alert123 阅读(2530) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示