怎样做才能让Java 序列化机制 更安全 ? Security principles we follow to make Java Serialization safe.

最新推荐文章于 2024-02-27 14:15:56 发布
最新推荐文章于 2024-02-27 14:15:56 发布
阅读量3.2k 收藏
点赞数
文章标签: Java 序列化 Serializable SealedObject SignedObject
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/technerd/article/details/13094987
版权

概述

Java 序列化 serialization,大家应该都不陌生。其主要职责就是将一个对象的状态转化为一个字节序列,以方便对象的持久化或网络传输。反序列化的过程正好相反。开发人员所要做的只是实现Serializable接口,然后调用ObjectOutputStream/ObjectInputStream的WriteObject/ReadObject方法即可,其他的工作 JVM 会自动帮你做了。


那通过实现Serializable 接口所获取的序列化能力是否有安全隐患?由于这些字节序列已经脱离了Java的安全体系存在于磁盘或网络上,我们能否对序列化后的字节序列进行查看和修改,甚至于注入恶意病毒呢? Java 反序列化机制是否又会对建立的对象进行验证以确保它的安全性、准确性呢? 如果你想到这些问题,那恐怕答案会让你失望了。Java序列化后的字节序列基本都是明文存在的,而且字节序列的组成有很明确的文档进行说明,你可以试着用一些十六进制的文本编辑工具,如Hexeditor 查看一下对象序列化后的内容,你都能看到很多私有变量的实际赋值。关于字节序列的说明,可参考对象序列化流协议 ,这里就不多说了。这篇文章的重点是说一些Java提供的安全机制,通过这些机制,我们能够提升序列化/反序列化的安全指数。


读这篇文章前,最好能了解一些Java序列化的基本知识。


Transient

这个关键字的用途,大家应该都不陌生。它用来指定可序列化对象中,哪个变量不被序列化。如果你的对象中存放了一些敏感信息,不想让别人看到的话。那么就把存放这个敏感信息的变量声明为Transient. 如下代码例子所示,Employee类中有一个私有变量_salary,我们在序列化时,想忽略这个敏感信息,那将它定义为transient即可。


import java.io.Serializable;

public class Employee implements Serializable {


	private static final long serialVersionUID = -7331553489509930824L;
	private String _name;
	private transient double _salary;
	public Employee(String name,double salary) {
		this._name = name;
		this._salary = salary;
	}
	
	public String toString(){
		return "Employee Name: " + this._name + " with salary " + this._salary;
	}

}


import java.io.*;


public class SerializationTest {

	
	
	public void serialize() throws  IOException{
		Employee em  = new Employee("Matt",10000);
		FileOutputStream fos = null;
		ObjectOutputStream oos = null;
		
		try {
			fos = new FileOutputStream("employee.save");
			oos = new ObjectOutputStream(fos);
	        System.out.println("Serialized - "+ em.toString());
            oos.writeObject(em);
		}finally{
			try {
				oos.close();
			} catch (IOException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}


	}
	
	public void deSerialize() throws ClassNotFoundException, IOException {
		
		FileInputStream fis = null;
		ObjectInputStream ois = null;
		try {
            fis = new FileInputStream("employee.save");
            ois = new ObjectInputStream(fis);
            Employee e = (Employee) ois.readObject();
            System.out.println("Deserialized - "+ e.toString());
		}finally{
			try {
				ois.close();
			} catch (IOException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
			
		}


	}
	
	public static void main(String[] args) throws IOException, ClassNotFoundException {
		SerializationTest st = new SerializationTest();
		st.serialize();
		st.deSerialize();

	}

}

输出结果如下 

Serialized - Employee Name: Matt with salary 10000.0
Deserialized - Employee Name: Matt with salary 0.0

这说明_salary 变量的值没有被序列化。


WirteObject & ReadObject

WriteObject 和ReadObject方法对于实现了Serializable  接口的类来说是可选方法。如果实现了,那么在序列化/反序列化的时候,会调用。否则,默认的序列化/反序列化将被执行。在这两个方法里,只需要关心方法所在类本身的字段域,不需要对其父类或子类负责。在这两个方法里,我们还是需要调用ObjectOutputStream/ObjectInputStream 的方法defaultWriteObject/defaultReadObject 以执行Java的默认序列化/反序列化过程。如下例所示,其中 SerializationTest  类与上例相比,没有变化,故省略。 Employee类如下 

import java.io.Serializable;

public class Employee implements Serializable {


	private static final long serialVersionUID = -7331553489509930824L;
	private String _name;
	private double _salary;
	public Employee(String name,double salary) {
		this._name = name;
		this._salary = salary;
	}
	
    private void writeObject(java.io.ObjectOutputStream stream)
    throws java.io.IOException
{

    _salary = _salary  * _name.hashCode();  //只做实例,可以使用任何你认为合适的加密算法。
    stream.defaultWriteObject();
    System.out.println("Customized writeObject method called.");
}

private void readObject(java.io.ObjectInputStream stream)
    throws java.io.IOException, ClassNotFoundException
{
    stream.defaultReadObject();

    _salary = _salary / _name.hashCode(); //只做实例,可以使用任何你认为合适的解密算法。

    System.out.println("Customized readObject method called.");
}

	
	public String toString(){
		return "Employee Name: " + this._name + " with salary " + this._salary;
	}

}


运行SerializationTest类的输出结果如下 

Serialized - Employee Name: Matt with salary 10000.0
Customized writeObject method called.
Customized readObject method called.
Deserialized - Employee Name: Matt with salary 10000.0


SealedObject & SignedObject

上面已经提到的方法为我们操作序列化对象内的局部变量提供了灵活性。但一种更简单的方法就是通过javax.crypto.SealedObject 和 java.security.SignedObject类,我们可以把整个序列化的流进行加密。你可能注意到这两个类分别存放在了不同的Java package里,虽然他们都对对象的真实性,完整性提供了保证,有人更倾向于在进行Java API设计时将他们放到一起。 据说,造成这种情况的原因是受到美国关于加密软件出口相关规定的约束造成的。JCE (Java Cryptography Extension,SealedObject属于其中)  最开始设计时,美国政府要求加密软件出口必须要获得军火商类似的许可才行。这都是题外话了。这里不对这Java的加密做过多的介绍,只是使用SealedObject进行一下实例说明,从而我们能看到使用他们可以很方便的对可序列化的对象进行加密,从而保证信息安全。 代码如下 

import java.io.Serializable;



public class Employee implements Serializable {


	private static final long serialVersionUID = -7331553489509930824L;
	private String _name;
	private double _salary;
	public Employee(String name,double salary) {
		this._name = name;
		this._salary = salary;
	}
	
   /*
    * 通过实现writeReplace方法来自动返回一个替代的SealedObject对象不可行,会导致栈溢出。因为SealedObject会对传入的待加密对象进行深Copy。这个操作就是通过序列化完成的。所以,会递归成死循环。
    */ 
	/*
		private Object writeReplace()throws java.io.ObjectStreamException
	{
		
	    SealedObject so = null;
	    try {
			so =  new SealedObject(this, new NullCipher());
		} catch (IllegalBlockSizeException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		} catch (IOException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		} 
		
		return so;
	
	
	}
	*/
	
	public String toString(){
		return "Employee Name: " + this._name + " with salary " + this._salary;
	}
	

}

import java.io.*;
import java.security.InvalidKeyException;
import java.security.Key;
import java.security.NoSuchAlgorithmException;

import javax.crypto.BadPaddingException;
import javax.crypto.Cipher;
import javax.crypto.IllegalBlockSizeException;
import javax.crypto.KeyGenerator;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.NullCipher;
import javax.crypto.SealedObject;
import javax.crypto.SecretKey;


public class SerializationTest {

	private static Key _key = null;
	
	
	public void serialize() throws  IOException, IllegalBlockSizeException, InvalidKeyException, NoSuchAlgorithmException, NoSuchPaddingException{
		Employee em  = new Employee("Matt",10000);
		FileOutputStream fos = null;
		ObjectOutputStream oos = null;
		
		try {
			fos = new FileOutputStream("employee.save");
			oos = new ObjectOutputStream(fos);
			
			KeyGenerator keyGenerator = KeyGenerator.getInstance("DESede");

            _key = keyGenerator.generateKey();
	        Cipher cipher = Cipher.getInstance("DESede");
	        cipher.init(Cipher.ENCRYPT_MODE, _key);
			SealedObject so = new SealedObject(em,cipher);
			oos.writeObject(so);
	        System.out.println("Serialized - "+ em.toString());

		}finally{
			try {
				oos.close();
			} catch (IOException e) {
				e.printStackTrace();
			}
		}


	}
	
	public void deSerialize() throws ClassNotFoundException, IOException, IllegalBlockSizeException, BadPaddingException, InvalidKeyException, NoSuchAlgorithmException, NoSuchPaddingException {
		
		FileInputStream fis = null;
		ObjectInputStream ois = null;
		try {
            fis = new FileInputStream("employee.save");
            ois = new ObjectInputStream(fis);
            SealedObject so = (SealedObject)ois.readObject();
            Employee e = (Employee) so.getObject(_key);
            System.out.println("Deserialized - "+ e.toString());
		}finally{
			try {
				ois.close();
			} catch (IOException e) {
				e.printStackTrace();
			}
			
		}


	}
	
	public static void main(String[] args) throws IOException, ClassNotFoundException, IllegalBlockSizeException, BadPaddingException, InvalidKeyException, NoSuchAlgorithmException, NoSuchPaddingException {
		SerializationTest st = new SerializationTest();
		st.serialize();
		st.deSerialize();

	}

}



如上所示,我们主要是在序列化对象的时候,对其作了一个加密操作。反序列化时,必须要拿到序列化时使用的Key,才可以。另外,我曾尝试在Employee类中实现WriteReplace方法直接将待序列化的对象包装成SealedObject 进行返回,但出现了栈溢出。因为SealedObject会对传入的待加密对象进行深Copy。这个操作就是通过序列化完成的。所以,会造成无限递归,直到栈溢出。


Validation

Java 在反序列化的过程中不会对Deserialized的对象进行有效性检查。而且,一旦对象是可序列化的,那就说明对象状态对应的的字节序列可以脱离Java的安全体系存在。关键是这个序列化后的字节序列对用户是可读的,基本是明文显示。所以在反序列化时,为了安全起见,我们最好对得到的数据进行校验。这时,需要我们实现接口java.io.ObjectInputValidation,这样我们可以定义反序列化中的回调函数来进行验证工作。代码如下 


import java.io.InvalidObjectException;
import java.io.ObjectInputValidation;
import java.io.Serializable;

public class Employee implements Serializable,ObjectInputValidation  {


	private static final long serialVersionUID = -7331553489509930824L;
	private String _name;
	private double _salary;
	public Employee(String name,double salary) {
		this._name = name;
		this._salary = salary;
	}
	
	public String toString(){
		return "Employee Name: " + this._name + " with salary " + this._salary;
	}

	
	private void readObject(java.io.ObjectInputStream stream)
    throws java.io.IOException, ClassNotFoundException
{
    stream.defaultReadObject();
    stream.registerValidation(this, 0);
    System.out.println("Customized readObject method called.");
}
	
	@Override
	public void validateObject() throws InvalidObjectException {
		System.out.println("Validation object after deserialization.");
		
		if (_salary < 0)
		    throw new InvalidObjectException("The Deserialized object is invalid. Salary can't be negative.");
		else
			System.out.println("The Deserialized object is valid.");
		
	}

}



import java.io.*;

public class SerializationTest {


	
	
	public void serialize() throws  IOException{
		Employee em  = new Employee("Matt",10000);
		FileOutputStream fos = null;
		ObjectOutputStream oos = null;
		
		try {
			fos = new FileOutputStream("employee.save");
			oos = new ObjectOutputStream(fos);
	        System.out.println("Serialized - "+ em.toString());
            oos.writeObject(em);
		}finally{
			try {
				oos.close();
			} catch (IOException e) {
				e.printStackTrace();
			}
		}




	}
	
	public void deSerialize() throws ClassNotFoundException, IOException {
		
		FileInputStream fis = null;
		ObjectInputStream ois = null;
		try {
            fis = new FileInputStream("employee.save");
            ois = new ObjectInputStream(fis);
            Employee e = (Employee) ois.readObject();
            System.out.println("Deserialized - "+ e.toString());
		}finally{
			try {
				ois.close();
			} catch (IOException e) {
				e.printStackTrace();
			}
			
		}




	}
	
	public static void main(String[] args) throws IOException, ClassNotFoundException {
		SerializationTest st = new SerializationTest();
		st.serialize();
		st.deSerialize();


	}


}
输出结果如下 

Serialized - Employee Name: Matt with salary 10000.0
Customized readObject method called.
Validation object after deserialization.
The Deserialized object is valid.
Deserialized - Employee Name: Matt with salary 10000.0

如果你想看到验证失败的结果,你可以把SerializationTest类中的代码 
Employee em  = new Employee("Matt",10000);

改为 

Employee em  = new Employee("Matt",-10000);

输出结果如下 

Serialized - Employee Name: Matt with salary -10000.0
Customized readObject method called.
Validation object after deserialization.
Exception in thread "main" java.io.InvalidObjectException: The Deserialized object is invalid. Salary can't be negative.
	at com.tr.serialization.validation.Employee.validateObject(Employee.java:37)
	at java.io.ObjectInputStream$ValidationList$1.run(ObjectInputStream.java:2206)
	at java.security.AccessController.doPrivileged(Native Method)
	at java.io.ObjectInputStream$ValidationList.doCallbacks(ObjectInputStream.java:2202)
	at java.io.ObjectInputStream.readObject(ObjectInputStream.java:357)
	at com.tr.serialization.validation.SerializationTest.deSerialize(SerializationTest.java:38)
	at com.tr.serialization.validation.SerializationTest.main(SerializationTest.java:55)


Say NO to 序列化

既然序列化会带来很多安全问题,那我们不用不就完了? 不实现Serializable接口喽, 多简单啊? 但有时候,事情不是我们想像的那么简单。 比如说我们有一个类PartimeEmployee类继承自Employee类,Employee类实现了Serializable接口。 如下类图所示


这时候,我们不想让PartTimeEmployee被序列化。那我们该怎么办?  我们只需要在PartTimeEmployee类的writeObject和readObject方法中抛出异常NotSerializableException即可。代码如下
  
import java.io.Serializable;

public class Employee implements Serializable {


	private static final long serialVersionUID = -7331553489509930824L;
	private String _name;
	private double _salary;
	public Employee(String name,double salary) {
		this._name = name;
		this._salary = salary;
	}
	
	public String toString(){
		return "Employee Name: " + this._name + " with salary " + this._salary;
	}

}


import java.io.NotSerializableException;

public class PartTimeEmployee extends Employee {
 
	private int working_days_each_month;
	
	private double salary_each_hour;
	
	public PartTimeEmployee(String name, double salary) {
		super(name, salary);
		// TODO Auto-generated constructor stub
	}
	
    private void writeObject(java.io.ObjectOutputStream stream)
    throws java.io.IOException
{

    	throw new NotSerializableException("This class is not serializable");
}

private void readObject(java.io.ObjectInputStream stream)
    throws java.io.IOException, ClassNotFoundException
{
	throw new NotSerializableException("This class is not serializable");
}

}




import java.io.*;




public class SerializationTest {


	
	
	public void serialize() throws  IOException{
		PartTimeEmployee em  = new PartTimeEmployee("Matt",10000);
		FileOutputStream fos = null;
		ObjectOutputStream oos = null;
		
		try {
			fos = new FileOutputStream("employee.save");
			oos = new ObjectOutputStream(fos);
            oos.writeObject(em);
            System.out.println("Serialized - "+ em.toString());
		}finally{
			try {
				oos.close();
			} catch (IOException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
		}




	}
	
	public void deSerialize() throws ClassNotFoundException, IOException {
		
		FileInputStream fis = null;
		ObjectInputStream ois = null;
		try {
            fis = new FileInputStream("employee.save");
            ois = new ObjectInputStream(fis);
            PartTimeEmployee e = (PartTimeEmployee) ois.readObject();
            System.out.println("Deserialized - "+ e.toString());
		}finally{
			try {
				ois.close();
			} catch (IOException e) {
				// TODO Auto-generated catch block
				e.printStackTrace();
			}
			
		}




	}
	
	public static void main(String[] args) throws IOException, ClassNotFoundException {
		SerializationTest st = new SerializationTest();
		st.serialize();
		st.deSerialize();


	}


}
输出结果如下 

Exception in thread "main" java.io.NotSerializableException: This class is not serializable
	at com.tr.serialization.no.PartTimeEmployee.writeObject(PartTimeEmployee.java:20)
	at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
	at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
	at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
	at java.lang.reflect.Method.invoke(Method.java:597)
	at java.io.ObjectStreamClass.invokeWriteObject(ObjectStreamClass.java:940)
	at java.io.ObjectOutputStream.writeSerialData(ObjectOutputStream.java:1469)
	at java.io.ObjectOutputStream.writeOrdinaryObject(ObjectOutputStream.java:1400)
	at java.io.ObjectOutputStream.writeObject0(ObjectOutputStream.java:1158)
	at java.io.ObjectOutputStream.writeObject(ObjectOutputStream.java:330)
	at com.tr.serialization.no.SerializationTest.serialize(SerializationTest.java:18)
	at com.tr.serialization.no.SerializationTest.main(SerializationTest.java:56)

总结


Java API在 JDK 1.1 的版本中还引入了 Externalizable  接口,通过实现该接口,用户可以通过WriteExternal和ReadExternal方法对序列化/反序列化的过程进行完全掌控,当然我们也可以对字段进行满足安全考虑的任何处理。实现该接口,灵活性增加了,但意味着用户要自己对序列化/反序列化的过程负责,增加了用户的复杂度,同时序列化/反序列化的性能问题是否会更突出,也是一个需要考虑的问题。


TechNerd
关注
JAVA Object-Oriented Design Principles.ppt
09-04
JAVA Object-Oriented Design Principles JAVA 面向对象设计原则是指在软件设计中,使用面向对象编程语言(如 Java)来实现的设计原则。这些原则旨在提高软件系统的质量、可维护性和可扩展性。 面向对象设计原则的...
java signed_java11教程--类SignedObject用法
weixin_39600366的博客
02-16 239
SignedObject是一个用于创建真实运行时对象的类,其完整性在未被检测到的情况下不会受到损害。具体地说,SignedObject包含另一个Serializable对象,即(将)签名对象及其签名。签名对象是原始对象的“深层复制”(以序列化形式)。 复制完成后,对原始对象的进一步操作对副本没有副作用。底层签名算法由传递给构造函数的Signature对象和verify方法指定。 签名的典型用法如...
Java对象序列化与反序列化
Charge8的博客
07-22 536
一、序列化和反序列化介绍 在Java中,对象的序列化与反序列化被广泛应用到RMI(远程方法调用)及网络传输中。 序列化:指将Java对象数据保存到磁盘文件中或者传递给其他网络的节点(在网络上传输)。 反序列化:指将磁盘文件中的对象数据或者把网络节点上的对象数据,恢复成Java对象的过程为反序列化。 对象序列化机制允许把内存中的Java对象转换成与平台无关的二进制流,从而允许把这种二进制流持久地保存在磁盘上,或通过网络将这种二进制流传输到另一个网络节点。其他程序一旦获得了这种二进制流,都可以将这种二进
JAVA文件加密与解密
清箫的专栏
03-16 7648
JAVA文件加密与解密加密算法:DES加密模式:CBC(密码分组链)模式分组填充方式:PKCS#5-Padding名词解释:Ø        DES:DES算法是一种对称加密机制,由IBM为美国政府于70年代开发。其入口参数有三个:key、data、mode。 其中Key为8个字节共64位,是DES算法的工作密钥;Data也为8个字节64位,是要被加密或被解密的数据;Mod
Java序列化深入
seek24的专栏
10-29 801
概念:一种将Java对象的状态转换为字节数组,以便存储或传输的机制,以后,仍可以将字节数组转换回Java对象原有的状态。 思想:冻结,屏蔽平台的差异性。 1、我们所知道的序列化Serializable接口,这是一个标记接口,任何实现了该接口的对象都可以被序列化JavaAPI中一共有14个类实现了该接口。 ObjectOutputStream用来将对象写到文件中 ObjectInpu
网络安全中的反序列化安全问题【Web安全
最新发布
kali2333的博客
02-27 717
漏洞成因位于目标配置文件settings.py下关于这两个配置项在Django中,SESSION_ENGINE 是一个设置项,用于指定用于存储和处理会话(session)数据的引擎。
Concurrent.Programming.in.Java - Design.Principles.and.Patterns(Second.Edition)
08-03
# 并发编程在Java中的应用:设计原则与模式(第二版) ## 一、并发对象导向编程概览 ### 1.1 引言 本书《Concurrent Programming in Java - Design Principles and Patterns (Second Edition)》深入探讨了在Java...
Solid-Design-Principles-in-Java:SOLID设计原则及其在Java 9中的实现
05-18
Java 9中的实体设计原则 SOLID是由Robert C. Martin开发的重要编程实践的集合。 SOLID包含5种编码实践: SRP-单一责任原则OCP-打开/关闭原理LSP-Liskov替代原理ISP-接口隔离原则DIP-依赖倒置原则SRP-单一责任原则SRP...
Java.Interview.Guide.How.to.Build.Confidence.With.pdf
01-03
Java.Interview.Guide.How.to.Build.Confidence.With.a.Solid.Understanding.of.Core.Java.Principles.B015HF9SJQ.pdf Java.Interview.Guide.How.to.Build.Confidence.With.a.Solid.Understanding.of.Core.Java....
java-program-design-principles-polymorphism
01-30
包含高清PDF+EPUB格式。 Get a grounding in polymorphism and other fundamental aspects of object-oriented program design and ... Java Program Design presents program design principles to help prac
【计算机基础】结合编程发展历史,聊聊C程序如何生成可执行程序
欢迎时常光顾我的干货超市,热衷于AIoT!!
04-20 506
C 程序翻译成机器语言程序的四个经典步骤
JCE加密和解密(基础篇)
笑不语的博客
04-09 9211
Cipher Cipher类为加密和解密提供密码功能。它构成了JCE框架的核心(引擎类)。 NullCiper是用来验证程序的有效性,并不提供具体的加密和解密实现。 方法详解 //实例化 getInstance(String transformation) getInstance(String transformation,Provider provider) getInstance(String...
关于java对象序列化您不知道的5件事
qingfoo的专栏
05-16 601
Java 对象序列化Java Object Serialization)在 Java 编程中是如此基本,以致很容易让人想当然。但是,和 Java 平台的很多方面一样,只要肯深入挖掘,序列化总能给予回报。在这个新系列的第一篇文章中,Ted Neward 给出 5 个需重新审视 Java 对象序列化的理由,并提供重构、加密和验证序列化数据的技巧(和代码)。
javax.crypto.Cipher类提供加密和解密功能,该类是JCE框架的核心。
热门推荐
wuwenlong527的专栏
01-11 1万+
javax.crypto.Cipher类提供加密和解密功能,该类是JCE框架的核心。一,与所有的引擎类一样,可以通过调用Cipher类中的getInstance静态工厂方法得到Cipher对象。public static Cipher getInstance(String transformation);public static Cipher getInstance(String
Java中的默认序列化存在安全问题如何解决?
solo的博客
11-10 1329
Java中的默认序列化是存在一些安全问题的,例如对象序列化以后的字节通过网络传输,有可能在网络中被截取。那如何保证数据安全呢?通常可以在对象序列化时对对象内容进行加密,对象反序列化时对内容进行解密。 具体实现过程分析: 在序列化对象中添加writeObject(ObjectOutpuStream out)方法对内容进行加密再执行序列化。 在序列化对象中添加readObject(ObjectI...
java序列化安全问题
qq_29827369的博客
03-27 1520
如果一个函数或者对象,不管它位于多么遥远的地方,都可以在本地直接被调用,那该有多好 呀!这是一个非常朴素、美好的想法。基于这个设想,诞生了很多伟大的技术和协议,比如远程 过程调用(RPC)、远程方法调用(RMI)、分布式对象(Distributed Object)、组件对象模 型(COM)、公共对象请求代理(CORBA)和简单对象访问协议(SOAP)等……这个列表还可 以很长很长。...
Java序列化安全机制
JianLeiXing的博客
02-12 593
[align=center][b]Java序列化安全机制[/b][/align] 前言 上一篇最后我们提到采用java默认的序列化机制是存在安全漏洞的。第一种漏洞就是在网络中传播二进制流时被黑客截获,获取其中的一些敏感信息,比如账号密码以及上文提到的苹果的价格;另一种就是黑客截获到了这些信息后加以修改,再通过网络发送出去,比如恶意修改了苹果价格信息,那么销售商将会面临破产的危机。基于此此,ja...
序列化和反序列化,怎么保证数据的正确性
HeavenPurpleHeart的博客
12-08 1518
ava序列化与反序列化是什么?为什么需要序列化与反序列化?如何实现Java序列化与反序列化?本文围绕这些问题进行了探讨。 1.Java序列化与反序列化 Java序列化是指把Java对象转换为字节序列的过程;而Java序列化是指把字节序列恢复为Java对象的过程。 2.为什么需要序列化与反序列化 我们知道,当两个进程进行远程通信时,可以相互发送各种类型的数据,包括文本、图片、音频、视
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值