一种反序列化漏洞的检测方法和检测系统

本发明公开了一种反序列化漏洞的检测方法和检测系统。其中，方法包括获取待反序列化的文件数据进行静态分析，获得第一类型gadget片段，第二类型gadget片段，第三类型gadget片段；查找结尾动态方法调用指向第三类型gadget片段开头动态方法调用的第二类型gadget片段，拼接，生成一个新的第三类型gadget片段，遍历直到没有新的第三类型gadget片段生成为止；查找结尾动态方法调用指向新的第三类型gadget片段开头动态方法调用的第一类型gadget片段，拼接，生成可疑gadget链；生成初始注入对象验证可疑gadget链是否为可利用gadget链，根据验证结果获得反序列化漏洞检测结果。本发明提供的方案采用自底向上的gadget链检测方法，解决了静态分析阶段由于候选gadget方法数过大导致的路径爆炸问题。