简单描述Json反序列化出现漏洞的原因

背景简介

Json序列化就是将数据对象转化为Json字符串。在序列化过程中抛弃了类型信息，所以反序列化时候只有提供类型信息才能准确的反序列化。 序列化通过会通过网络传输对象，而对象中往往有敏感信息，所以序列化常常成为黑客的攻击点，攻击者巧妙的利用反序列化过程构造恶意代码，使得程序在反序列化过程中执行任意代码。

Java工程中经常使用的Apache Commons Collections、Jackson、fastjson等都出现过反序列化漏洞。

如何防范？？

有些对象的敏感属性不需要进行序列化传输，可以加transient关键字，避免把此属性信息转化为序列化的二进制流。

如果一定要传输呢？

可以使用对称与非对称加密方式独立传输，再使用某个方法（自己写一个）把属性还原到对象中。