Java反序列化如何理解

Java反序列化是将字节流还原为对象的过程，危险在于盲目反序列化不可信数据会触发恶意代码执行；核心入口是ObjectInputStream.readObject()，风险源于默认不校验类名且易被gadget链利用；防范需禁用原生方案或启用白名单、JDK序列化过滤等机制。

Java反序列化，简单说就是把一串字节（比如从网络、文件或数据库读来的数据）还原成内存中的Java对象。这个过程本身是中性的，但危险在于：如果程序盲目地对不可信的输入执行反序列化，攻击者就可能构造恶意字节流，让JVM在还原过程中触发非预期代码，比如执行命令、读取文件、连接外网等。

核心机制：ObjectInputStream.readObject() 是关键入口

Java原生序列化靠 java.io.Serializable 接口标记可序列化的类，序列化后生成二进制流；反序列化则依赖 ObjectInputStream.readObject() 方法——它会按协议解析字节流，重建对象图，并自动调用特定方法（如 readObject、readResolve），甚至触发构造器和字段赋值。

• 只要类实现了 Serializable，即使没有显式定义 readObject，JVM 也会用默认逻辑还原
• 若类自定义了 readObject 方法，该方法会在字段赋值后被调用，成为攻击常利用的“钩子”
• 某些类（如 URL、BigDecimal、JDBC 连接池对象）在反序列化过程中会间接触发网络请求或类加载，埋下隐患

为什么会有安全风险？因为信任了不该信任的数据

问题不在于反序列化技术本身，而在于很多老系统把反序列化当作“通用数据传输协议”来用，比如用它传用户ID、配置项、甚至整个业务对象，却没校验来源。一旦攻击者能控制输入字节流，就能绕过正常业务逻辑，直达 JVM 底层行为。

• 常见场景：HTTP参数、Redis缓存值、RMI接口、消息队列 payload、日志采集字段
• 典型链路：攻击者构造含 Commons Collections、Groovy、Jython 等第三方库 gadget 的字节流 → 服务端调用 readObject → 触发链式反射调用 → 最终执行 Runtime.getRuntime().exec()
• 根本原因：Java 默认不校验类名和类型，只认 serialVersionUID 和字段结构

怎么防范？本质是控制反序列化的“输入源”和“可加载类”

最直接有效的做法，是避免对不可信数据使用原生 Java 反序列化。如果必须用，就加管控层。

快剪辑

国内⼀体化视频⽣产平台

54

查看详情

立即学习“Java免费学习笔记（深入）”；

• 优先替换方案：改用 JSON（Jackson/Gson）、Protobuf、Hessian（开启白名单）等更可控的序列化格式
• 若必须用 ObjectInputStream，继承它并重写 resolveClass() 方法，在这里检查类名是否在预设白名单内
• 升级 JDK：JDK 9+ 提供了 jdk.serialFilter 系统属性，JDK 17+ 默认启用更严格的过滤策略（如禁止远程类加载）
• 运行时加固：使用 SecurityManager（虽已弃用但仍有效）或字节码增强工具（如 OpenRASP）拦截可疑反序列化调用

调试与识别：如何确认是不是反序列化漏洞

看代码里有没有对用户可控输入调用了 readObject；看堆栈里是否频繁出现 ObjectInputStream、AnnotationInvocationHandler、BadAttributeValueExpException 等关键词；用 ysoserial 生成测试 payload 发包验证。

• 常见特征：接口接收 base64 字符串、二进制 POST body、或以 AC ED 00 05 开头的十六进制数据
• 报错线索：反序列化失败时抛出 InvalidClassException、ClassNotFoundException 或 Unexpected exception during deserialization
• 注意混淆：有些框架（如 Spring、WebLogic）内部封装了反序列化逻辑，表面看不到 readObject，但实际仍存在风险

基本上就这些。理解反序列化，关键是抓住“字节→对象→方法触发”这条链，以及“谁控制输入、谁决定加载哪个类”这两个安全边界。不复杂，但容易忽略。

以上就是Java反序列化如何理解的详细内容，更多请关注php中文网其它相关文章！