Java反序列化基本原理

1. 序列化：Java对象在内存中是以特定的数据结构存在的，而在网络传输或持久化存储时，需要将对象转换为字节流形式，这个过程就是序列化。Java提供了java.io.Serializable接口，一个类实现该接口，就表明它可以被序列化。在序列化过程中，对象的状态（成员变量的值）会被写入ObjectOutputStream输出流。
2. 反序列化：与序列化相反，反序列化是将字节流重新转换为Java对象的过程。通过ObjectInputStream输入流读取字节流，并根据字节流中的信息重新构建对象的状态。Java在反序列化时，会根据字节流中的类信息（如类名、类的序列化版本号等），找到对应的类并使用反射机制创建对象实例，然后将字节流中的数据填充到对象的成员变量中。

开发Java反序列化安全性评估工具需重点关注的常见安全漏洞类型

1. 代码执行漏洞：恶意攻击者可以构造恶意的序列化数据，当目标应用程序对这些数据进行反序列化时，会触发代码执行。比如利用TemplatesImpl类的特性，结合AnnotationInvocationHandler等类，通过精心构造的序列化数据，在反序列化过程中执行任意代码。
2. 远程代码执行（RCE）漏洞：如果应用程序在网络环境中接受并反序列化不可信的数据，攻击者可以通过构造恶意序列化数据，实现远程代码执行。例如在一些Web应用中，通过HTTP请求发送恶意序列化数据，导致服务器端执行攻击者指定的代码。
3. 反序列化漏洞链：一些复杂的反序列化漏洞利用会涉及多个类和方法的组合，形成漏洞链。如常见的Commons Collections库相关的漏洞，会涉及多个类的交互，攻击者利用这些类之间的关系和特性，构造出能够触发漏洞的序列化数据。
4. 对象注入漏洞：攻击者通过反序列化恶意数据，向应用程序中注入恶意对象，这些恶意对象可能会破坏应用程序的正常逻辑，获取敏感信息或进行其他恶意操作。例如注入恶意的javax.naming.Reference对象，结合JNDI（Java Naming and Directory Interface）相关机制，引发进一步的安全问题。