CC1链学习分析
# Apache Commons Collections反序列化漏洞(CC1链)分析
## 前置知识
### 1. Java反序列化机制
- **构造方法不执行**:反序列化通过`ObjectInputStream`读取字节流重建对象,不会调用类的任何构造方法
- **`readObject`方法调用**:如果类实现了`Serializable`接口并自定义了`readObject`方法,反序列化时会调用该方法
- **类加载要求**:服务器必须能够找到并加载反序列化所需的类定义,否则会抛
2025-08-28 21:23:21
0