摘要：Java反序列化漏洞研究 漏洞原理 java序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。当反序列化的输入来源于程序外部，可以被用户控制，恶意用户便可以构造恶意的字节流，经反序列化之后得到精心构造的恶意对象。 也就是说一些java应用的数据在网络中传输，我们把里面的序列化数据抠出来，替换成我们的payload，应用程序接收之后把payl... 阅读全文