Java反序列化漏洞介绍

• 为什么需要序列化与序列化？
• 攻击条件
• 魔术方法

常用防御方法

• Look-Ahead Check
• JEP29
• RASP
• 缺点分析

Java中的关键风险

• URLConnection
• JDBC

Java反序列化新的利用方式

• 反序列化 gadgets
• Json attack

建议与启发

• 对开发者的建议
• 对安全研究者的启发

本次组会内容下载链接