BaRMIe

1.     不安全的方法：  RMI服务经常暴露一些危险的功能，可以直接调用已知的提供类/方法的细节。例如包括未经身份验证的文件读取和写入。3.     通过非法的方法调用进行反序列化：在对所提供的方法参数进行反序列化之前，Java不验证提供的方法参数是否与实际的方法参数类型兼容。这种弱点意味着任何非原始的远程方法参数都可以用TCP代理替换为任意对象，除非在Java未能执行非法方法调用之前触发反序列化有效载荷，否则将触发非法方法调用。