不安全的反序列化 漏洞案例

反序列化漏洞,当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码(多见于第三方组件产生的漏洞)

运行
漏洞代码 - ObjectInputStream


漏洞代码 - SnakeYaml


运行
漏洞代码 - RMI Registry


运行
安全代码 - 黑白名单


运行
漏洞代码 - XMLDecoder