Java安全(一)-Fastjson反序列化漏洞详解

写在前面，Java安全系列将由浅入深，对Java热门漏洞从漏洞原理到漏洞复现再到代码层面进行分析。帮助不同阶段的安全人员解决问题。

一、相关知识储备

 什么是json？

　　json（JavaScript Object Notation ）,它是一种轻量的数据交换格式，它可以在不同的编程语言中表示、传递、存储数据。

json格式的数据表现形式为：由{ }括起来的一对键值对,键与值之间由冒号分隔，即{key：value}，

 

例：
{

"name"："张三"，

"age":15

}

例子中的”name”即为键，“”张三”是值。

什么是Fastjson？

　　Fastjson 是一个阿里巴巴开源的，用java语言编写的高性能且功能完善的JSON库。它可以实现将 Java 对象和JSON格式的互相转换。

　　Fastjson提供两个主要接口JSON.toJSONString 和 JSON.parseObject/JSON.parse 分别实现序列化和反序列化。