java代码审计之反序列化(静态内部类)

最新推荐文章于 2023-11-11 16:00:37 发布
最新推荐文章于 2023-11-11 16:00:37 发布
阅读量933 收藏
点赞数
分类专栏: java代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Candyys/article/details/105982021
版权

对非静态内部类的序列化依赖编译器,且随着平台的不同而不同,容易产生错误。
对内部类的序列化会导致外部类的实例也被序列化。这样有可能泄露敏感数据。

public class DistributeData implements SerializedName{
public class CodeDetail {...}
}

CodeDetail 并不会被序列化。

public class DistributeData implements SerializedName{
public class CodeDetail implements SerializedName{...}
}

报NotSerializableException,查错误, CodeDetail 这个类虽然实现了 Serializable 接口,但
CodeDetail 在项目中是以内部类的形式定义的。

public class DistributeData implements SerializedName{
public static class CodeDetail implements SerializedName{...}
}

上面的这种形式可以被序列化但是容易造成敏感信息泄露。

审计策略

人工查找 implements Serializable 的所有内部类

修复方案

class ${InnerSer} {}
去除内部类的序列化。
static class ${InnerSer} implements Serializable {}
把内部类声明为静态从而被序列化。但是要注意遵循示例三中的敏感信息问题
 

hu4wufu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java序列化反序列化,面试必备
12-21
最近阅读Serializable接口和Externalizable接口的源码,并结合了一些资料,对面试过程中与序列化相关的内容做了一些总结。 一、序列化反序列化、使用场景、意义。 序列化:将对象写入IO流中; 反序列化:从IO流中恢复对象; 意义:序列化机制允许将实现序列化Java对象转换为字节序列,并将字节序列保存在磁盘中,或通过网络传输,以达到以后恢复成原来的对象。序列化机制使地对象可以脱离程序的运行而独立存在。 使用场景:所有在网络上传输的对象都必须是可序列化的。如:RMI (远程方法调用),传入的参数或返回的对象都是可序列化的,否则会出错。所有必须保存到磁盘的java对象都必须是可
java反序列化工具
11-21
java反序列化工具,覆盖jboss、weblogic、websphere。
内部类的序列化问题;静态变量不能被序列化的问题
YanRu的专栏
07-15 7358
1.父类序列化,则非静态的内部类也要序列化,不然会报错。 2.父类序列化静态内部类序列化也可以,不会报错,但是数据会丢失。
JAVA序列、反序列化及漏洞
最新发布
jainszhang的博客
11-11 290
介绍序列化反序列化背景;java实现,以及存在的漏洞和解决方案。
java 泛型序列化_java基础之(注解,内部类,泛型,序列化,复制)集合
weixin_30295121的博客
02-12 508
一.JAVA 注解1. 概念Annotation(注解)是 Java 提供的一种对元程序中元素关联信息和元数据(metadata)的途径和方法。Annatation(注解)是一个接口,程序可以通过反射来获取指定程序中元素的 Annotation对象,然后通过该 Annotation 对象来获取注解中的元数据信息。2. 4 种标准元注解元注解的作用是负责注解其他注解。 Java5.0 定义了 4 个...
Java基础汇总(十二)——序列化反序列化
weixin_45864705的博客
09-26 1125
Java基础汇总(十二)——序列化反序列化
关于Java内部类序列化
Native Roma
06-28 1万+
关于Java内部类序列化问题
内部类反序列化问题(fastjson exception: create instance error)
热门推荐
xktxoo的博客
10-08 1万+
内部类反序列化问题(fastjson exception: create instance error)一、问题项目开发过程中遇到了JSON反序列化问题(JSONException: create instance error),问题如下: com.alibaba.fastjson.JSONException: create instance error, class com.test.xiaofan.test.Cl
序列化注意事项
qq_42838710的博客
11-21 278
序列化注意事项 1、如果子类实现Serializable接口而父类未实现时,父类不会被序列化,但此时父类必须有个无参构造方法,否则会抛InvalidClassException异常。 2、静态变量不会被序列化,那是类的“菜”,不是对象的。串行化保存的是对象的状态,即非静态的属性,即实例变量。不能保存类变量。 3、transient关键字修饰变量可以限制序列化。对于不需要或不应该保存的属性,应加上t...
单例模式,防止反射和反序列化漏洞
m0_37154839的博客
02-26 286
一、懒汉式单例模式,解决反射和反序列化漏洞 package com.iter.devbox.singleton;   import java.io.ObjectStreamException; import java.io.Serializable;   /**  * 懒汉式(如何防止反射和反序列化漏洞)  * @author Shearer  *  */ public class Singl...
java 静态 序列化_JAVA序列化反序列化中的静态成员问题
weixin_30184337的博客
02-16 482
关于这个标题的内容是面试笔试中比较常见的考题,大家跟随我的博客一起来学习下这个过程。? ? JAVA中的序列化反序列化主要用于:(1)将对象或者异常等写入文件,通过文件交互传输信息;(2)将对象或者异常等通过网络进行传输。? ? 那么为什么需要序列化反序列化呢?简单来说,如果你只是自己同一台机器的同一个环境下使用同一个JVM来操作,序列化反序列化是没必要的,当需要进行数据传输的时候就显得十分...
Java 反序列化学习的实验代码.rar
01-16
Java反序列化漏洞学习实践中的代码 Java反序列化漏洞学习实践一:从Serializbale接口开始,先弹个计算器 Java反序列化漏洞学习实践二:Java的反射机制(Java Reflection) Java反序列化漏洞学习实践三:理解java...
深入分析Java序列化反序列化
12-22
本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java序列化  为什么实现了java.io.Serializable接口才能被序列化  transient的作用是什么  怎么自定义序列...
Java中对象序列化反序列化详解
09-03
主要介绍了Java中对象序列化反序列化,较为详细的分析了java中对象序列化的概念、原理、实现方法及相关注意事项,具有一定参考借鉴价值,需要的朋友可以参考下
JAVA序列化反序列化的底层实现原理解析
08-25
主要介绍了JAVA序列化反序列化的底层实现原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
java内部类详解
分享传递价值
05-23 661
内部类定义: 将一个类的定义放在另一个类的内部 为什么要内部类? 1.内部类提供通向外部类的窗口; 2.内部类中定义了和外部类相关的内容,利于维护; 3.每个内部类自身都能单独的继承基类或实现接口,而不受外部类的约束; 4.围绕第三点来看,内部类从一定程度上解决了java中单继承的限制; 内部类经常被使用,例如很多API的json返回值就会使用内部类: public class S...
Java中redis反序列化复杂结构对象异常记录(具有内部类的对象,具有List成员的对象)
qq_41902662的博客
10-22 679
Java中redis反序列化复杂结构对象异常记录(具有内部类的对象,具有List成员的对象) 1. 具有内部类的对象 @Getter @Setter public class ScrnSupNetDto { private Integer enabledDockPlatCount; private Integer enableTradePlatCount; /// 前五名数据 private List<TradePlatData> top5Data;
Fastjson源码分析—内部注册类型的反序列化
qq_45854465的博客
12-08 475
2021SC@SDUSC Fastjson原生支持大多数工程中常用类型的反序列化,这一特性让Fastjson在众多json库中脱颖而出。除了最基本的类型外,Fastjson还自带SimpleDateFormat、Calendar、StringBuffer、BigDecimal和UUID等不那么常见但是很有用处的类型的反序列化。本章尝试从几个稍复杂的类型入手,探讨Fastjson如何对内部注册类型进行反序列化。 目录TimeDeserializerMapDeserializerToken类型及规律支持的内部注
内部类不能被序列化的原因
乔治大哥的博客
05-08 3777
内部类不能被序列化是因为内部类的实例化需要外部类的实例作为前提条件,而外部类的实例化又可能需要访问非序列化的成员变量或方法。因此,如果内部类实例被序列化,它的外部类状态可能会丢失或破坏,导致反序列化失败或产生错误的结果。此外,内部类可能包含对外部类实例的隐式引用,这会增加序列化反序列化的复杂性和风险。如果内部类实例被序列化,它的外部类实例可能无法正确地反序列化,因为它依赖于非序列化的外部类状态。静态类可以被序列化,因为它们不包含对外部类实例的引用,并且可以独立于外部类进行序列化反序列化
禁止序列化静态的内部类?
05-17
序列化时,对象序列化器将尝试序列化静态内部类及其外部类,这可能会导致不必要的序列化反序列化操作,增加了序列化反序列化的时间和空间开销。为了避免这种情况,建议将静态内部类声明为独立的类,或者使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值