在《JavaSec Jackson反序列化漏洞原理》中分析Jackson反序列化漏洞的成因，也总结了一些了Jackson的反序列化漏洞利用方式，这里将以Jackson的漏洞复现为主，以理清Jackson的漏洞发展史，从中吸取一些攻防经验。

Java反序列是一个将对象转换为字节流的机制，是在json,xml数据格式之外的一个数据传输格式，是Java原生支持的。但是不安全的序列化与反序列使用存在安全风险，这是对不可信的输入数据没有严格的校验改变了程序的执行流程，达到任意代码执行等