有关Kryo的高低版本的漏洞原理
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
本文介绍了Hessian中Kryo协议的原理和特点,包括自动深浅复制/克隆的功能。同时提到了该协议的反序列化漏洞,分为5.0.0前和之后的版本。最后通过测试类展示了Kryo协议的反序列化过程。
🎯
关键要点
- Kryo是一个快速高效的Java二进制对象图序列化框架,目标是高速、小尺寸和易于使用的API。
- Kryo支持自动深浅复制/克隆,直接从对象到对象的复制。
- Kryo协议的反序列化漏洞分为5.0.0前和之后的版本。
- 5.0.0之前的版本可以在反序列化过程中调用目标类的无参构造方法,可能导致安全漏洞。
- 测试类展示了Kryo协议的反序列化过程,使用了User类进行演示。
➡️
