01 shiro反序列化漏洞的原理

Shiro反序列化漏洞的原理是攻击者通过精心构造恶意序列化数据，使得在反序列化过程中能够执行任意代码。Shiro是一个Java安全框架，提供了身份验证、授权、加密和会话管理等功能。其中，Shiro的序列化功能可以将对象序列化为字节流，以便在不同的系统之间进行传输或者持久化存储。

然而，当Shiro反序列化一个恶意构造的序列化数据时，由于反序列化过程中没有对数据进行正确的验证和过滤，攻击者可以插入恶意的代码，这些代码在反序列化时会被执行。这可能导致攻击者获得目标系统的控制权，并进行恶意操作，如窃取数据、破坏系统等。

02 fastjson反序列化漏洞原理

Fastjson是一个Java语言编写的高性能功能完善的JSON库，它提供了JSON的序列化和反序列化功能。Fastjson的反序列化原理主要基于Java的反射机制和动态代理技术。

1.反射机制：Fastjson通过Java的反射机制获取类的字段、方法和构造器等信息，以便将JSON数据映射到对应的Java对象。在反序列化过程中，Fastjson会根据JSON数据的键值对，通过反射调用Java对象的setter方法将JSON数据转换为Java对象。

2.动态代理：Fastjson使用动态代理技术实现反序列化过程中的自动装配。当使用Fastjson反序列化一个对象时，Fastjson会为该对象创建一个动态代理对象，并通过该代理对象调用Java对象的setter方法将JSON数据转换为Java对象。这种自动装配的方式可以避免手动编写装配代码，提高开发效率。

3.自定义反序列化：除了默认的反序列化方式，Fastjson还支持自定义反序列化。用户可以通过实现一个特定的接口（如Deserializer接口）来自定义反序列化逻辑。在反序列化过程中，Fastjson会根据用户实现的自定义逻辑将JSON数据转换为Java对象。