java代码审计之序列化与反序列化

最新推荐文章于 2024-07-14 22:18:32 发布
最新推荐文章于 2024-07-14 22:18:32 发布
阅读量1k 收藏 22
点赞数 13
分类专栏: java代码审计 文章标签: java 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CheatMyself/article/details/139029916
版权

序列化与反序列化

1. 描述

序列化是一种将对象的状态转换为字节流的机制,从而使对象能够被保存到文件中或通过网络进行传输。反序列化则是将字节流重新转换为对象的过程。这两个过程使得对象能够在不同的存储介质或不同的计算机系统之间进行传输和恢复。

2. 使用场景

当我们只在本地 JVM 里运行下Java 实例,这个时候是不需要什么序列化和反序列化的,但当我们需要将内存中的对象持久化到磁盘,数据库中时,或者需要与浏览器进行交互时这个时候就需要序列化和反序列化了。

3. 实现
实现
Java原生序列化
需要被序列化的类实现Serizlizable接口
具体实现
缺点
序列化
反序列化
缺点
ObjectOutputStream#writeObject方法
ObjectInputStream#readObject方法
效率低序列化后的流数据比较大
使用第三方库的序列化方式
如JSONHessian等

注意:transient修饰的属性,不会被序列化(不希望被序列化时用transient修饰);静态static修饰的属性,也不会被序列化(因为序列化是针对对象而言的而 static 属性独立于对象存在随着类的加载而加载,所以不会被序列化。)

3.1将java对象序列化与反序列化实现

创建一个Person对象

import java.io.*;

class Person implements Serializable {
    private static final long serialVersionUID = 1L;
    private String name;
    private int age;

    public Person(String name, int age) {
        this.name = name;
        this.age = age;
    }

    @Override
    public String toString() {
        return "Person{name='" + name + "', age=" + age + "}";
    }
}

serialVersionUID作用

  • 在类定义中显式地声明 serialVersionUID,可以确保类在修改(如添加或删除字段)后仍然能够与以前的版本兼容。
  • 如果类的定义发生变化,但 serialVersionUID 保持不变,反序列化时将尝试加载对象并填充可用字段。
  • 如果没有显式声明 serialVersionUID,编译器将根据类的结构自动生成一个值。这意味着每次编译类时生成的 serialVersionUID 可能不同,从而导致不同版本的类不兼容。

person对象的状态转换为字节流并写入到名为"ser.bin"的文件中,以实现对象的持久化存储。

package org.example;

import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.ObjectOutputStream;

public class Ser {
    public static void main(String[] args) throws Exception {
        Person person = new Person("小红", 19);
        //使用FileOutputStream将字节数据输出到名为"ser.bin"的文件中。
        //ObjectOutputStream用于将对象序列化为字节流并写入文件中
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        //将person对象的状态(包括名字和年龄)转换为字节流,并将这个字节流写入到"ser.bin"文件中。
        objectOutputStream.writeObject(person);
    }
}

将其封装为一个方法:

import java.io.FileOutputStream;
import java.io.ObjectOutputStream;

public class Ser {
    public static void serializable(String path,Object obj) throws Exception {
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream(path));
        objectOutputStream.writeObject(obj);
    }
    public static void main(String[] args) throws Exception {
        Person person = new Person("小红", 19);
        serializable("ser.bin",person);
    }
}

将写入的类进行反序列化

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

public class Ser {
    public static void main(String[] args) throws Exception {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("ser.bin"));
        System.out.println(objectInputStream.readObject());
    }
}

将反序列化方法封装为一个方法

package org.example;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

public class Ser {
    public static Object unserializable(String path) throws Exception {
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(path));
        return objectInputStream.readObject();
    }
    public static void main(String[] args) throws Exception {
        System.out.println(unserializable("ser.bin"));;
    }
}

安全问题

如果类中重写readObject方法,则会触发安全问题

package org.example;

import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.Serializable;

class Person implements Serializable {
    private static final long serialVersionUID = 1L;
    private String name;
    private int age;

    public Person(String name, int age) {
        this.name = name;
        this.age = age;
    }

    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        in.defaultReadObject();
        Runtime.getRuntime().exec("calc");
    }

    @Override
    public String toString() {
        return "Person{name='" + name + "', age=" + age + "}";
    }
}
ZZ58
关注
  • 13
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java代码审计安全篇-反序列化漏洞
m0_63138919的博客
03-15 1237
​ 本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误 ​
Java代码审计&原生反序列化&CC链跟踪分析
qq_46081990的博客
01-24 1604
观察到decorate方法调用过该构造方法TransformedMap,由此想到可以利用decorate方法间接控制valueTransformer,即控制decorate方法的传参valueTransformer=new InvokerTransformer(),那么执行decorate方法就会触发构造方法设置valueTransformer为InvokerTransformer类对象。总结:无非就是让前面调用方法的类发生更改,控制其等于后面的类,让其调用后面类的方法。
java代码审计11之反序列化基础学习
划水的小白白
08-18 310
1、 序列化反序列化 2、序列化反序列化案例 2.1、使用idea生成代码与serialVersionUID 2.2、实例化对象 2.3、序列化对象 2.4、反序列化 3、稍微深入serialVersionUID 综上小结, 4、transient 作⽤ 5、反序列化漏洞 6、反序列化漏洞的理解 6.1、项目代码中,没有重写 readObject 方法,且反序列化的参数可控,可以造成漏洞吗 6.2、只有重写 readObject方法 才会造成反序列化漏洞吗 6.3、小结反序列化漏洞 之前的文章, php
学习笔记-java代码审计-反序列化
人饭子的博客
11-13 858
Java代码审计-反序列化 0x00 漏洞挖掘 业务代码 简单来说,找readObject/readUnshared就好了 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String baseStr...
java代码审计--反序列化
goddemon
09-15 933
1.挖掘思路 反序列化利用链通常分为三部分,触发点、中继点、执行点 2.序列化反序列化基础知识点 序列化反序列化相关类与函数 Java.io.ObjectOutputStream //序列化实现方法-->从这个目标流写的和输出的都是序列化 java.io.ObjectInputStream //反序列化实现方法-->从这个输出流写的和输出的都是反序列化 //相关步骤 对象序列化步骤 1) 创建一个对象输出流,它可以包装一个其他类型的目标输出流,如文件输出流; 2) 通过对象输出流的wri
Java代码审计&Shiro反序列化&DNS利用链&CC利用链&AES动态调试
qq_46081990的博客
01-20 1178
本文首先介绍了Java原生反序列化及其漏洞产生的原因,然后以代码审计的角度深入分析了Shiro550生成及验证RememberMe Cookie的流程,总结了Shiro550反序列化漏洞产生的根本原因,测试了URLDNS链,最后提出了一些思考
Java代码审计&Shiro反序列化&CB1链&source入口&sink执行&gadget链
qq_46081990的博客
01-22 1787
本文详细介绍了Shiro550 Commons BeanUtils反序列化利用链,以代码审计的角度跟踪分析Commons BeanUtils链的source、sink以及gadget,解释了该链触发反序列化漏洞并最终造成RCE命令执行的根本原因是什么,并且在最后深入分析了Commons BeanUtils链payload的生成逻辑。
Java 代码审计——shiro 1.2.4反序列化(CVE-2016-4437)
王嘟嘟的博客
12-17 2215
0x00 前言 shiro124是一个比较老的反序列化漏洞了,一直都没有对这个漏洞进行深刻的了解,直到学习了CC链之后,回过头来在看,才知道所有一切的真相~ 0x01 shiro124 简单的说shiro是一个认证框架,用来做认证的。 124的反序列化也是非常简单: shiro利用的首先是rememberMe的反序列化过程,过程分为三步: base64解码 解密 反序列化 同样序列化也分为三步: 反序列化 加密 base64解密 其中最重要的就是加密了,如果没有加密的秘钥就没有办法进行伪造,这里感谢
Java代码审计基础——RMI原理和反序列化利用链
m0_61506558的博客
11-26 805
(一)何为RMIRMI(Remote Method Invocation)即远程方法调用,是中的一个基本思想。实现远程方法调用的技术有很多,比如CORBA、WebService,这两种都是独立于各个编程语言的。而Java RMI是专为Java环境设计的远程方法调用机制,是一种用于实现远程调用(RPC,Remote Procedure Call)的Java API,能直接传输序列化后的Java对象和分布式垃圾收集。它的实现依赖于JVM,因此它支持从一个JVM到另一个JVM的调用。
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
Java反序列化工具.zip
05-31
Java反序列化是一种将之前序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方法。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络传输中将对象从一个系统传输到另一个...
构造java探测class反序列化gadget1
08-03
Java反序列化时会检查对象的serialVersionUID,以确保序列化反序列化时的类版本匹配。如果本地和远程的serialVersionUID不一致,反序列化将失败。关键代码位于`java.io.ObjectStreamClass#initNonProxy`方法中,...
Java安全漫谈 - 07.反序列化篇(1)1
08-03
这使得Java反序列化更加灵活,但也带来了安全风险,因为恶意用户可以通过构造特殊的序列化数据来触发意想不到的行为,比如执行任意代码。 PHP的序列化反序列化则相对封闭,开发者无法直接修改序列化数据流,...
Java Web反序列化网络安全漏洞分析.pdf
03-31
Java Web反序列化漏洞是指在Java Web应用程序中,由于对序列化对象的不当处理,攻击者可以构造恶意的序列化数据,导致程序在反序列化过程中执行非预期的代码,从而引发安全问题。这种漏洞的存在使得攻击者可以绕过...
JavaSE》---6.<基础语法(Java三大程序控制结构)>
最新发布
m0_73456341的博客
07-14 829
本篇博客主要讲解Java基础语法中的三大结构,一种顺序结构、两大分支结构i(if-else、swich-case)、四大循环结构(while、do while、fot、foreach)
Spring Security 授权
persistence_PSH的博客
07-14 901
在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。通过 RBAC 获取到用户的具体权限后,再通过 Security 的 用户-权限-资源 来进行权限控制。HttpSecurity 权限配置。
【Go系列】 Sync并发控制
u013379032的博客
07-14 1022
在上一篇文章中,我们介绍了goroutine和channel,理论上,通过channel可以实现并发控制,但是其他语言的开发者可能更习惯一些原子操作的库。当然Go语言也会提供这样的库,所以我们今天了解一下sync库。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值