【技术问答 - 12 】Fastjson 反序列化漏洞的原理?

请先 登录 后评论

1 个回答

Kinding

Fastjson反序列化漏洞被利用的原因,可以归结为两方面:

    Fastjson提供了反序列化功能,允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名;
    Fastjson自定义的反序列化机制会使用反射生成上述指定类的实例化对象,并自动调用该对象的setter方法及部分getter方法。

请先 登录 后评论

相似问题