序列化和反序列化的过程中经常会产生漏洞，因为反序列化时通常应用程序会按照相应的规则自动调用某些方法，利用 Java 的多态，攻击者可以进行不同功能类的组合，形成具有攻击手段的调用链，从而造成漏洞。

之前的博客中已经介绍了几种 Java 中存在的反序列化漏洞类型，包括 Java 原生反序列化的利用链的详解（ysoserial）、使用了 Java 原生反序列化进行交互的协议（RMI）以及对人类来说可读性较强的 json 格式的序列化数据传输（fastjson）。

本篇将继续探究基于二进制的协议 Hessian 以及相关的反序列化漏洞利用。

懒得复制粘贴了请点击阅读原文查看。