类型: 安全缺陷

    在序列化类中,调用一些危险方法,例如反射相关的方法,同时如果应用对用户输入,即不可信数据,没有进行校验就进行反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。
    例如引起2015年java反序列漏洞的组件Apache Commons Collections中的org.apache.commons.collections.functors.InvokerTransformer类。