反序列化为啥要找公开方法

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了反序列化为啥要找公开方法相关的知识,希望对你有一定的参考价值。

参考技术A 反序列化为什么要找公开方法:因为反序列化:把字节序列恢复为对象的过程称为对象的反序列化。

序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于反序列化。下面是将字符串对象先进行序列化,存储到本地文件,然后再通过反序列化进行恢复

如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行

以上是关于反序列化为啥要找公开方法的主要内容,如果未能解决你的问题,请参考以下文章

无法反序列化当前的JSON对象,为啥

当我尝试在 .NET Core 中反序列化 FormFile 对象时,为啥会出现奇怪的异常?

为啥我在 XML 反序列化函数中收到此错误?

为啥 OffsetDateTime 序列化/反序列化结果有差异?

为啥反序列化绘图时会出错?

为啥 Azure WebJob ServiceBus 默认反序列化 XML?