XStream反序列化漏洞原理深度分析

一、XStream框架组成分析XStream是java实现对javaBean(实用类)简单快速进行序列化反序列化的框架。目前支持XML或JSON格式数据的序列化或反序列化过程。XStream总体主要由上图所示的五个接口和抽象类组成。其中，AbsractDriver是为XStream提供解析器和编辑器的创建的抽象类。XStream默认使用的解析器是XppDriver(这也就解释为了什么XStream使用默认的构造方法创建XStream对象的时候，需要依赖Xpp类库—如果没有导入对应版本的Xpp类库是会报错的)MarshallingStrategy是编组和解组策略的核心接口。(其中，编组过程可以简单的理解为将JavaBean对象对应的属性参数逐个读取并按照指定的数据格式进行组合，最后整合成我们需要的XML或JSON数据格式；依此类推，解组过程就可以理解成是将xml或JSON数据 ………………………………