web漏洞扫描器检测原理和白盒工具不一样 。
首先漏洞扫描器要解决的是识别出反序列化的请求 ， 在这里需要注意的是web漏洞扫描是无法通过爬虫方式直接发现反序列化接口的 ， 因此往往需要配合其他web漏洞扫描器的组件（例如代理组件）来识别反序列化接口 ， 如下图所示

文章图片
如今web漏洞扫描器都提供了代理组件来发现应用的http请求 ， 爬虫组件可通过前台页面触发请求进入代理组件；但在API场景下 ， 还是需要测试人员进行API调用该操作才能够产生http请求数据 。
在截获到http请求数据后 ， 代理组件可以通过两种方式判断一个请求是否是序列化请求：通过http请求的Content-Type ， 具体来说ContentType:application/x-java-serialized-object是序列化请求的请求头检查请求数据的开头是否是0xaced ， 有时候序列化请求不存在正确的content-type ， 此时需要根据数据来判断是否是序列化请求
在确定一个接口是序列化接口的时候会漏洞扫描器会发送探测payload判断接口是否有反序列化漏洞 ， 这里的攻击payload类似于1.2节中使用的ysoserial工具 ， 由于绝大多数情况下不可能看到回显（http返回数据没有攻击执行结果） ， 因此只能进行盲注 ， 即发送sleep10这样的命令 ， 根据响应时间判断是否有漏洞 。 返回搜狐 ， 查看更多
【java反序列化漏洞及其检测】责任编辑：

• 台积电|台积电“反水”！
• iOS|和安卓截然相反？为什么iOS手动关闭后台却更耗电，看完基本懂了
• 如果你对手机拍照有较高的要求的话|目前拍照最好看的三款手机，影像实力直追小单反，拍照爱好者必入
• 目前拍照最好的三款手机，影像实力不输小单反，摄影爱好者必备
• 之前很长一段时间内|用了三年苹果再次换回华为：感觉反差很大，心里憋了好多话要说
• 如果你对手机拍照有较高要求的话|七月份最值得买的三款拍照手机，款款堪比“小单反”，体验极佳
• 如果你对拍照有着很高的要求的话|盘点目前拍照最好看的三款手机，款款不输小单反，拍照爱好者必入
• 华为|可变光圈战单反！华为Mate 50相关表情包新鲜出炉
• 电子商务|Java：Java 数据库连接简介
• 阿里巴巴|Java：帮助Java开发人员进行Bean映射的7大框架