对象序列化和反序列化(反序列化缺陷)

最新推荐文章于 2023-12-23 14:08:37 发布
最新推荐文章于 2023-12-23 14:08:37 发布
阅读量430 收藏
点赞数 1
分类专栏: python3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ACBC12345/article/details/100598454
版权
序列化和反序列化概念

序列化:对象序列化是一个用于将(内存中的)对象转换为字节流的过程,序列化后可将其保存到磁盘文件中或通过网络发送到任何其他程序;
反序列化:从字节流创建对象的相反的过程称为反序列化。
百度百科:序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象

python中的序列化和反序列化api
1,pickle模块的使用

pickle模块使用二进制协议去序列化和反序列化一个python对象;
Pickling”(也就是Serialization序列化) 是一个python对象呢转换为一个字节流的过程;
“unpickling”( 也即deserialization反序列化)是相反的过程,即将一个字节流(一个二进制文件或字节对象)转换为python对象;
(1) pickle.dump(obj, file, [,protocol])
函数的功能:将obj对象序列化存入已经打开的file中(注意将对象的类型及层次结构等信息也存入文件了,这样在反序列化的时候就知道怎么构建还原对象了)。
参数讲解:
obj:想要序列化的obj对象。
` file:文件名称。
protocol:序列化使用的协议。如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。

(2)pickle.load(file)
函数的功能:将file中的对象序列化读出。
参数讲解:
file:文件名称。
(3)pickle.dumps(obj[, protocol])
函数的功能:将obj对象序列化为string形式,而不是存入文件中。
参数讲解:
obj:想要序列化的obj对象。
protocal:如果该项省略,则默认为0。如果为负值或HIGHEST_PROTOCOL,则使用最高的协议版本。
(4)pickle.loads(string)
函数的功能:从string中读出序列化前的obj对象。
参数讲解:
string:文件名称。
【注】 dump() 与 load() 相比 dumps() 和 loads() 还有另一种能力:dump()函数能一个接着一个地将几个对象序列化存储到同一个文件中,随后调用load()来以同样的顺序反序列化读出这些对象。

代码示例
#coding:utf-8  
__author__ = 'MsLili'  
#pickle模块主要函数的应用举例  
import pickle  
dataList = [[1, 1, 'yes'],  
            [1, 1, 'yes'],  
            [1, 0, 'no'],  
            [0, 1, 'no'],  
            [0, 1, 'no']]  
dataDic = { 0: [1, 2, 3, 4],  
            1: ('a', 'b'),  
            2: {'c':'yes','d':'no'}}  
  
#使用dump()将数据序列化到文件中  
fw = open('dataFile.txt','wb')  
# Pickle the list using the highest protocol available.  
pickle.dump(dataList, fw, -1)  
# Pickle dictionary using protocol 0.  
pickle.dump(dataDic, fw)  
fw.close()  
  
#使用load()将数据从文件中序列化读出  
fr = open('dataFile.txt','rb')  
data1 = pickle.load(fr)  
print(data1)  
data2 = pickle.load(fr)  
print(data2)  
fr.close()  
  
#使用dumps()和loads()举例  
p = pickle.dumps(dataList)  
print( pickle.loads(p) )  
p = pickle.dumps(dataDic)  
print( pickle.loads(p) )
2,cPickle模块的使用

cPickle和pickle一样,两者只是实现的语言不同,一个是C实现,另一个是纯Python实现,函数调用基本相同,但cPickle库的性能更好。
cPickle API接口如下:
cPickle.dump():将Python对象序列化保存到本地的文件中。
cPickle.load():载入本地文件,将文件内容反序列化为Python对象。
cPickle.dumps():将Python对象序列化为字符串。
cPickle.loads():将字符串反序列化为Python对象。

3,json模块的使用
  1. json.dump()将对象序列化为json格式的字符串写到文件流fp中,e.g:
import json
content = '{"name": "anthony", "sex": "man"}'
with open('text.json', 'w') as f:
    json.dump(content, f)
  1. json.load()从文件流fp中读取json格式的字符串并将其反序列化为对象,e.g:
import json
with open('text.json', "r") as f:
    a = json.load(f)
    print(a) #{"name": "anthony", "sex": "man"}
  1. json.dumps()将一个对象序列化为json格式的字符串
>>> b
{'a': 1, 'b': 2}
>>> json.dumps(b)
'{"a": 1, "b": 2}'
  1. json.loads()将json格式的字符串反序列化为一个对象
>>> c='{"a": 1, "b": 2}'
>>> json.loads(c)
{'a': 1, 'b': 2}
4,repr()+eval()
  1. eval() 函数用来执行一个字符串表达式,并返回表达式的值.
    如下可以执行创建对象的语句,如:
>>> x = "{'a': 1, 'b': 2}"
>>> eval(x)
{'a': 1, 'b': 2}
  1. repr() 函数将对象转化为供解释器读取的形式,返回一个对象的 string 格式
>>> a=[1,2,3]
>>> repr(a)
'[1, 2, 3]'

两者结合,可达到"对象<==>字符串"互相转换的效果,如下:

eval(repr(obj)) == obj
Python反序列化缺陷
  1. 漏洞原理
    python反序列化漏洞的本质在于序列化对象的时候,类中自动执行的函数如__reduce__()函数也被序列化,在反序列化时这些函数会直接被执行。如果有人重载了如__reduce__()函数并在其中作手脚,那反序列化时就会导致危险–这是代码注入的一种。
  2. __reduce__()介绍
    __reduce__ must return a string or tuple;
    当定义扩展类型时(也就是使用Python的C语言API实现的类型),如果你想pickle它们,你必须告诉Python如何pickle它们。 reduce 被定义之后,当对象被Pickle时就会被调用。它要么返回一个代表全局名称的字符串,Pyhton会查找它并pickle,要么返回一个元组。这个元组包含2到5个元素,其中包括:一个可调用的对象,用于重建对象时调用;一个参数元素,供那个可调用对象使用;被传递给 setstate 的状态(可选);一个产生被pickle的列表元素的迭代器(可选);一个产生被pickle的字典元素的迭代器(可选)
  3. 处理办法–终极办法
    官方文档中说过,pickle是个不安全的模块,永远别去反序列化不信任的数据.
Python反序列化缺陷攻击举例
# -*- coding: utf-8 -*-
# @Author: Administrator
# @Date:   2019-09-05 09:00:45
# @Last Modified by:   Administrator
# @Last Modified time: 2019-09-07 14:57:20
import pickle
# class Mytest(object):
class Mytest:

    # 重载父类的__reduce__
    def __reduce__(self):
        print("reduce is execute!")
        return super().__reduce__()


# 注意class本身也是一个对象
# 现在我们尝试将这个class进行序列化
seri_temp = pickle.dumps(Mytest)
print(seri_temp)  # b'\x80\x03c__main__\nMytest\nq\x00.'
# 反序列化看看__reduce__会不会执行
deseri_temp = pickle.loads(seri_temp)  # 在反序列化的时候没有任何反应
print(deseri_temp)  # <class '__main__.Mytest'>


# 定义一个该类的实例看看会不会执行
object_temp = Mytest()
seri_temp = pickle.dumps(object_temp)
pickle.loads(seri_temp)  # reduce is execute! 在反序列化的时候执行了!

运行结果:

b'\x80\x03c__main__\nMytest\nq\x00.'
<class '__main__.Mytest'>
reduce is execute!
[Finished in 0.1s]
Dan.Qiao
关注
专栏目录
The return type must be a string,dict,tuple,Response instance,or WSGI callable,butit was aNamespace
NLP与推荐算法
04-13 3179
flask中出现了这个错误搞得我一脸蒙蔽。卧槽 错误如下: 这特么真不知道咋办了,也没注明哪里错了,卧槽。 后来我将其他依赖函数直接放到@app上面,客户端请求后的程序放在@app下面,意思就是数据一来我就开始处理了。 另外有相关问题可以加入QQ群讨论,不设微信群 QQ群:868373192 语音图像视频深度-学习群 ...
Java对象序列化反序列化实践
12-22
 把字节序列恢复为Java对象的过程称为对象反序列化。  对象序列化主要有两种用途:  1)把对象的字节序列地保存到硬盘上,通常存放在一个文件中;  2)在网络上传送对象的字节序列。  一、JDK类库...
json序列化反序列化
ZHOUXIN0426的博客
06-20 259
1.什么是序列化反序列化序列化就是将内存中的数据结构转换成一种中间格式存储到硬盘或者基于到网络传输。 反序列化就是将硬盘中或者网络中传来的一种数据格式转换成内存中数据格式。 2.为什么要有序列化反序列化? 1.可以保存程序的运行状态。(比如游戏中用户在某个状态下线,用户游戏的数据需要保存,这时候就可以用序列化直接把用户状态保存到json文件中。) 2.可以实现数据的跨平...
python编程中遇到的错误类型,原因及解决方法
qq_31391261的博客
05-10 2万+
一、TypeError1.   user_t = username + time      #将username和time拼接在一起     TypeError: must be str, not float原因:time获取到的time.time()当前时间戳为float类型,float不能直接跟字符串进行拼接解决方法:将time转换成字符串,即str(time)2. TypeError: 'd...
TypeError: view must be a callable or a list/tuple in the case of include().
weixin_33897722的博客
11-09 273
打开微信扫一扫,关注微信公众号【数据与算法联盟】 转载请注明出处:http://blog.csdn.net/gamer_gyt 博主微博:http://weibo.com/234654758 Github:https://github.com/thinkgamer 背景 最近对自己大学做的一个网站进行了升级简化和...
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 6932
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
Java中对象序列化反序列化详解
09-03
这个过程被称为序列化,而将字节序列恢复为原来的对象则称为反序列化。本文将深入探讨Java中的对象序列化反序列化的概念、原理、实现方法以及相关的注意事项。 **一、对象序列化的概念和作用** 对象序列化是将一...
C#之JSON序列化反序列化
最新发布
05-09
在C#编程中,JSON(JavaScript Object Notation)序列化反序列化是常见的数据转换技术,用于在应用程序之间交换数据。JSON是一种轻量级、易于读写的数据格式,广泛应用于Web服务和客户端之间的通信。本篇文章将...
详解Java 对象序列化反序列化
08-30
Java提供了内置的支持来进行对象序列化反序列化,主要通过实现`java.io.Serializable`接口来实现。 1. **简洁的代码实现** Java对象序列化的简化代码主要体现在使用`ObjectOutputStream`和`ObjectInputStream`...
C# xml序列化反序列化
01-05
在C#编程中,XML序列化反序列化是一项重要的技术,它允许我们将对象的状态转换为XML格式的数据,以及将XML数据恢复为等效的对象。这在数据存储、网络传输和配置文件等方面都有广泛的应用。以下是对这个主题的详细...
Deserialization反序列化漏洞
Eason_LYC安全白帽子的成长博客
05-14 3001
详细介绍反序列化安全漏洞的知识笔记。绝佳的入门教程+配套靶场
漏洞预警|NVFlare 不可信数据的反序列化漏洞
LJQClqjc的博客
08-30 1043
棱镜七彩安全预警
pickle错误异常_pickle.UnpicklingError和AttributeError
热门推荐
wuliwawa的博客
08-21 2万+
_pickle.UnpicklingError: NEWOBJ class argument isn't a type object AttributeError: Can't get attribute 'admin' on <module '__main__' from 'C:PycharmProjects/subject_system/src/admin_interface.py'&...
spark python pickle对象_cPickle.PicklingError:无法序列化对象:NotImplementedError
weixin_39884100的博客
12-08 1678
pyspark_1|19/10/2510:23:03INFOSparkContext:Createdbroadcast12frombroadcast atNativeMethodAccessorImpl.java:0pyspark_1|Traceback(most recent call last):pyspark_1|File"/home/ubuntu/spark-2.4.4-bin-hadoo...
java反序列化漏洞的漏洞原理,如何防御此漏洞?如何利用此漏洞?
DXfighting_的博客
04-15 2749
漏洞原理: 如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。 漏洞防御: a. 代码审计 反序列化操作一般在导入模版文件、网络通信、数据传输、日志格式化存储、对象数据落磁盘或DB存储等业务场景,在代码审计时可重点关注一些反序列化操作函数并判断输入是否可控,如下: 同时也要关注第三jar包是否提供了一些公共的反序列化操作接口,如果没有相应的安全校验如白名单校验方案,且输入可控的话就
关于序列化反序列化丢失几大问题总结
武亚军的博客
01-19 8656
序列化 (Serialization)将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象反序列化失败原因:(目前只遇到过两种) 没有添加 serialVersionUID 可能会导致反序列化失败 生成默认的serialVersionUID --> [Ad
有关Python序列化和存在的反序列化缺陷思考
9ian1i
03-24 8379
0x00 面试被问到了前段时间阿里内推面试,二面问到了Python序列化漏洞,问我了解吗。我说平时用过,也大概知道其序列化后是一种什么形式,但序列化漏洞没怎么关注过。心里想,Python序列化漏洞难道不是和Java还有PHP一样,都是因为敏感操作引起的吗,过分信任了输入,其实也是代码注入的一种,没什么好说的啊。结果是自己太 naive ,Python序列化方面的问题远没有这么简单。0x01 序列化
关于JSON反序列化的坑(JAVA)
Ying的博客
07-12 2669
RestTemplate的getForObject() public void test() { // 使用方法一,不带参数 String url = "https:/://xxx/xx/x?id=666106231640"; Data data = restTemplate.getForObject(url, InnerRes.class); System.out.println(data...
Java对象序列化反序列化详解
"Java对象序列化反序列化...Java对象序列化反序列化对象持久化和跨网络通信的重要手段,通过实现特定接口和使用特定的输入/输出流类,我们可以方便地将复杂的数据结构转换为字节流,并在需要时恢复为原始对象
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值