JAVA反序列化怎么理解

这篇文章主要讲解了"JAVA反序列化怎么理解"，文中的讲解内容简单清晰，易于学习与理解，下面请大家跟着小编的思路慢慢深入，一起来研究和学习"JAVA反序列化怎么理解"吧！

反序列化三个主要部分

反序列化RCE分为三个部分，载体、执行函数、回显。载体包括协议、加解密算法等等。执行函数则是通过载体后的反序列化函数。回显则分为显式回显和隐式回显，显式回显例如Webshell、HTTP response body、图片隐写，隐式回显例如RMI、URLDNS等等。

如何去学习

在了解基本构成之后，按照顺序找相关的部分，然后拼起来即可。
载体：
载体普遍存在一些大型JAVA项目之中，例如Apache Software Foundation的一堆。

执行函数：
在执行函数阶段，反序列普遍使用ObjectInputStream，当然如果你看到名字不同，可能是经过封装和继承。

FileInputStream fis = new FileInputStream("object");ObjectInputStream ois = new ObjectInputStream(fis);

显示回显：

1、文件写入2、HTTP response body3、延迟4、HTTP banner5、图片隐写...

隐式回显：

1、RMI2、URLDNS3、LADP4、JNDI...

感谢各位的阅读，以上就是"JAVA反序列化怎么理解"的内容了，经过本文的学习后，相信大家对JAVA反序列化怎么理解这一问题有了更深刻的体会，具体使用情况还需要大家实践验证。这里是，小编将为大家推送更多相关知识点的文章，欢迎关注！