当前位置：首页 > article >正文

基础知识丨JAVA序列化与反序列化漏洞

article 2026/5/19 1:32:02

今天在学习的时候又接触到了JAVA反序列化漏洞。一直只知道JAVA反序列化就是利用反序列化工具进行攻击在目标系统中执行命令利用的就是传输对象时采用JAVA序列化。但是也只知道这么多了。所以就想着今天再了解一下反序列化漏洞。顺便再写个笔记。JAVA序列化什么是JAVA序列化序列化可以让数据持久化将对象等数据转化成字节序列也就是八位01序列存储在存储器中。在数据传输中便可以利用JAVA序列化让复杂的数据变成01序列进行传输。序列化对象 -- 字符串反序列化字符串 -- 对象序列化协议XMLSOAP、JSON、ProtobufJAVA序列化的实现我初步学习时了解到JAVA序列化的实现依赖Serializable接口。但是实际上JAVA反序列化的实现还有其他的框架比如Protobuf框架和Jackson框架在一些情况下其他框架比原有的Serializable接口实现选择优先级更高。JAVA序列化实现的方式对反序列化漏洞影响非常大因为反序列化漏洞的关键是利用JAVA反序列化时使用的构造器方法、setter方法等。也就是说不同的实现方式导致序列化的方式不同利用反序列化漏洞的方式也截然不同。JAVA反序列化漏洞拿原生的JAVA序列化为例。漏洞根源主要的攻击操作是攻击者通过构造一个恶意的序列化数据诱导程序在反序列化过程中执行到预期之外的恶意代码从而实现远程代码执行RCE.攻击发生的入口是反序列化类的readObject()。readObject和writeObject()是JAVA序列化的核心方法用于自定义序列化/反序列化逻辑的两个私有方法。这两个方法可以由开发者重写。如果反序列化中的readObject被类重写那么就会优先执行其中的自定义逻辑。这个便是攻击的起点。Gadget ChainGadget Chain是一条攻击链通过多个类的方法调用而串联成的执行路径。也就是说是将原有的各种方法调用过来组合成能够达到自己目的的“逻辑代码”。攻击者把Gadget Chain封装成二进制数据发送给目标便可以实现攻击。利用这条路径便可以实现任意代码执行RCE。构造方法Commons Collections库中有ConstantTransformer、InvokerTransformer。ConstantTransformer中有transform()方法会恒等地返回一个你指定的对象。InvokerTransformer中有transform(Object input)方法可以通过反射调用input对象的任意方法。利用这两个方法可以获得到组装Gadget Chain的各个方法从而构造Gadget Chain。反序列化工具ysoserial是一个著名的漏洞利用生成工具预置了大量针对不同JAVA库的Gadget链可以一键生成恶意序列化数据可以大大提高攻击效率降低攻击门槛。反序列化漏洞是非常重要的漏洞。它的影响范围很广几乎所有主流的Java框架和库都爆发过JAVA反序列化漏洞事件。而只要业务代码依赖于一个存在该漏洞的库且对外使用JAVA反序列化进行传输那么就可能遭到JAVA反序列化攻击。而且危害等级很高反序列化漏洞往往会导向RCE直接实现对目标的控制。ysoserial等工具又让攻击的门槛大大降低非常简单便可以造成致命的危害。而且难检测、难修复。护网中一定要针对JAVA反序列化进行渗透测试

基础知识丨JAVA序列化与反序列化漏洞

相关文章：

基础知识丨JAVA序列化与反序列化漏洞

Cursor AI助手反馈插件：用点赞点踩调教你的编程伙伴

NotebookLM电影文献处理失效真相：92%研究者忽略的3类语义断层及修复方案

粉笔事业单位适合备考资格复审后面试吗？从材料确认、题型训练到岗位表达的评测

3分钟快速上手：Windows实时语音转文字工具TMSpeech完整使用指南

[2026降本增效实战] 制造业生产成本核算如何提升准确性？基于实在Agent的端到端解决方案

解锁Godot游戏宝库：PCK文件解包实战指南

终极ncmdump使用指南：3步解锁网易云NCM加密音乐，实现跨平台自由播放

开源写作助手：本地化部署的智能文本分析与AI辅助创作工具

终极指南：如何用XUnity自动翻译器让外语游戏秒变中文版

EFFACT架构：全同态加密硬件加速的创新设计

在 Taotoken 控制台中如何管理多个 API Key 并设置访问控制与审计

让框架跑得久一点：失败继续、日志、截图、HTML 与网络现场

腾讯混元调用代码实践

宽带卫星通信系统同步与大规模阵列波束成形技术【附程序】

随机化、盲法、匹配：让你的研究更接近“可信因果”——控制额外变量的策略与实验内部效度提升

编程分析企业奖罚制度执行数据，优化奖罚标准，做到赏罚分明，调动全体员工职场工作积极性。

分布式学习中的个性化算法与通信优化实践

AI 视频创作系统：新媒体高效增收工具，AI 自动成片，持续输出优质内容

基于DS18B20与WipperSnapper的无代码物联网温度监测方案

DIY USB-C扩展坞：从引脚连接到3D打印，打造开发板专属工作站

告别IDE切换！在VS2022里用上C++ Builder的智能提示（保姆级路径配置）

虚幻引擎网络协议逆向分析：从抓包到安全加固的工程实践

别再一行行读DXF了！用C#和netDxf库5分钟搞定CAD数据提取（附完整代码）

避坑指南：SAP BP客户维护cl_md_bp_maintain的那些“坑”与最佳实践

从零构建AI智能体：核心架构、ReAct模式与实战指南

独立开发者如何利用Taotoken的多模型能力构建低成本AI应用原型

python系列【仅供参考】：避开这些坑！用Python爬取IEEE Xplore论文信息时，我的防反爬与数据清洗实战记录

神经网络分子动力学与长程静电模拟优化策略

CAXA 中心线