其他漏洞原理及防御（1）-反序列化漏洞

合集 - 基本漏洞原理(25)

1.基本漏洞原理及防御（1）-sql注入2022-03-032.sqlmap入门（1）2022-03-043.基本漏洞原理及防御（3）-DOM XSS2022-03-164.其他漏洞原理及防御(2) -逻辑漏洞2022-03-10

5.其他漏洞原理及防御（1）-反序列化漏洞2022-03-06

6.基本漏洞原理及防御（2）XSS（3）DOM XSS2022-03-057.传统防火墙，WAF，IPS/IDS的原理与异同2022-04-108.代理与反向代理2022-04-099.基本漏洞原理及防御-（5）XXE（6）-文件包含2022-03-1710.基本漏洞原理及防御（5）-XXE2022-03-1511.mysql与sql语句的基本操作（3部分）2022-03-1412.云；云计算；云安全2022-03-0913.基本漏洞原理及防御（4）-CSRF2022-03-0814.WAF详解，检测与一些绕过方法2022-03-0715.基本漏洞原理及防御（11）-DOS：CC攻击2022-04-0816.基本漏洞原理及防御（10）-DOS：反射型Dos2022-04-0617.基本漏洞原理及防御（9）-DOS：基于资源耗尽的拒绝服务2022-04-0518.wireshark分析攻击流量的简单尝试2022-03-2119.wireshark分析攻击流量的简单尝试2022-03-2120.基本漏洞原理及防御（8）-DOS：基于内核处理的停止服务2022-03-2021.常见协议功能和端口2022-03-1922.基本漏洞原理及防御（7）-网站挂马2022-03-1823.github访问困难/缓慢的问题解决2022-03-1324.什么是堡垒机2022-03-1225.访问请求的后台操作、ip和域名（详解）2022-03-11

收起

JAVA反序列化漏洞：

序列化：将java对象转化成字节序列，以便保存。利用wirteObject（）方法。

反序列化：相当于序列化的逆过程，字节序列恢复成java对象。利用readObject（）方法。

序列化与反序列化手段，可以有效的使对象脱离java运行环境，实现多平台之间的通信，对象的持久化存储。

原理：暴露或间接暴露反序列化 API ，导致用户可以操作传入数据，攻击者可以精心构造反序列化对象并执行恶意代码

两个或多个看似安全的模块在同一运行环境下，共同产生的安全问题。

至于具体的实现或是深层次的探究，暂时对java掌握较浅，不做讨论。