反序列化漏洞


反序列漏洞,但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码


运行
漏洞代码 - readObject

运行
安全代码 - 预编译方法
编码建议

运行
安全代码 - 过滤方法