反序列化前提
1、被序列化和反序列化的类需要实现 Serializable 序列化 接口
2、并重写 readObject 方法,在重写的 readObject 方法中执行 objectInputStream.defaultReadObject 方法(否则无法读取序列化时属性的值)
3、具体原因这里不做解释,底层原理参考 https://www.cnblogs.com/zpchcbd/p/15126154.html 即可
apache commons-collections(阿帕奇 公共集合)组件下曝出的一个反序列化链 简称 CC1 链
CC1 链如下图所示
标签:重写,readObject,CC1,漏洞,序列化,方法 From: https://www.cnblogs.com/shaoqiblog/p/17245787.html