其他漏洞原理及防御（1）-反序列化漏洞

JAVA反序列化漏洞：

序列化：将java对象转化成字节序列，以便保存。利用wirteObject（）方法。

反序列化：相当于序列化的逆过程，字节序列恢复成java对象。利用readObject（）方法。

序列化与反序列化手段，可以有效的使对象脱离java运行环境，实现多平台之间的通信，对象的持久化存储。

原理：暴露或间接暴露反序列化 API ，导致用户可以操作传入数据，攻击者可以精心构造反序列化对象并执行恶意代码

两个或多个看似安全的模块在同一运行环境下，共同产生的安全问题。

至于具体的实现或是深层次的探究，暂时对java掌握较浅，不做讨论。