序列化和反序列化
序列化:将对象转换为字节序列的过程
反序列化 将字节序列恢复为对象的过程
实现序列化
实现Serializable接口-创建对象输出流-调用writeObject()方法-关闭对象输出流
使用集合保存对象,可以将结合中的所有对象序列化
反序列化
反序列化已经要强制类型转换,因为在文本文件中是不能提前知道他的类型是什么的 所以要提前将类型放在对象中
List <Studnet> stu= (List<Student>) ofs.readObject();
泛型输出
for循环是新建了一个s对象域遍历stu里面的值并输出
反序列化漏洞之弹计算器
如果java引用对用户的输入(序列话后的恶意数据),不可信数据(入序列化过的命令执行代码)做了反序列化处理,产生的非预期对象过程可能带来RCE
恶意序列化代码
反序列化代码
调用readObject函数弹出
Apache-Commons-Collections反序列化漏洞饭呢西以及POC构造
标签:输出,java,对象,readObject,基础,序列,序列化 From: https://www.cnblogs.com/lisenMiller/p/17208219.html