diff --git a/notes/攻击技术.md b/notes/攻击技术.md
index 1aa5b741..46fa2251 100644
--- a/notes/攻击技术.md
+++ b/notes/攻击技术.md
@@ -3,6 +3,7 @@
 * [二、跨站请求伪造](#二跨站请求伪造)
 * [三、SQL 注入攻击](#三sql-注入攻击)
 * [四、拒绝服务攻击](#四拒绝服务攻击)
+* [五、反序列化攻击](#五反序列化攻击)
 * [参考资料](#参考资料)
 <!-- GFM-TOC -->
 
@@ -185,6 +186,17 @@ ResultSet rs = stmt.executeQuery();
 
 分布式拒绝服务攻击（distributed denial-of-service attack，DDoS），指攻击者使用两个或以上被攻陷的电脑作为“僵尸”向特定的目标发动“拒绝服务”式攻击。
 
+# 五、反序列化攻击
+反序列化攻击的本质在于Java 序列化自身的缺陷。
+
+众所周知，序列化的目的是使Java 对象转化成字节流，方便存储或者网络上传输。Java 对象分解成字节码过程叫做序列化，从字节码组装成 Java 对象的过程叫做反序列化，这两个过程分别对应于的 writeObject 和 readObject 方法。
+
+问题在于 readObject 在利用字节流组装 Java 对象时不会调用构造函数，也就意味着没有任何类型的检查，用户可以复写 readObject() 方法执行任何希望执行的代码。 
+
+攻击者修改过的readObject代码，通过序列化方法writeObject()转成字节流打包发送给服务端，服务端把字节流转成对象时，自动调用了这串字节流中的被恶意修改的readObject()方法，攻击者可以在这段代码里做任何事情。
+
+2018年5月，[oracle官方宣布要废弃序列化](https://www.bleepingcomputer.com/news/security/oracle-plans-to-drop-java-serialization-support-the-source-of-most-security-bugs/)
+
 # 参考资料
 
 - [维基百科：跨站脚本](https://zh.wikipedia.org/wiki/%E8%B7%A8%E7%B6%B2%E7%AB%99%E6%8C%87%E4%BB%A4%E7%A2%BC)