JAVA序列化和反序列化

最新推荐文章于 2024-08-26 13:06:11 发布
最新推荐文章于 2024-08-26 13:06:11 发布
阅读量354 收藏 7
点赞数 8
文章标签: java 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WSGWZlz/article/details/134561346
版权
本文介绍了Java序列化和反序列化的概念,包括Serializable接口的使用、ObjectOutputStream和ObjectInputStream的运用,以及如何通过重写readObject()方法实现反序列化漏洞。
摘要由CSDN通过智能技术生成

 JAVA序列化和反序列化


序列化与反序列化的概念


1.序列化的概念


    序列化是指将对象的状态信息转换为字节流的过程,这样可以将这些信息存储到文件或数据库中,或者通过网络将其传输到任何其他运行的Java虚拟机(JVM)中。换句话说,序列化就是将对象转换为可以在网络上发送或者存储到文件的可传输格式。

2.反序列化的概念

     从字节流中恢复对象的状态信息。它等价于在序列化的过程中进行的逆操作。反序列化过程中,字节流被重新转换为对象,可以在需要的时候使用。

3.序列化与反序列化的实现方式
  • Serializable接口:要使一个类能够被序列化,需要让该类实现java.io.Serializable接口。该接口是一个标记接口,没有定义任何方法,只是用来表明类的对象可以被序列化。
  • 使用ObjectOutputStream类:要序列化一个对象,可以使用ObjectOutputStream类将对象写入到字节流中。序列化的过程是将对象的状态信息转换为字节流的过程。
  • 使用ObjectInputStream类:要反序列化一个对象,可以使用ObjectInputStream类从字节流中读取对象的状态信息,并将其分配给一个新的对象实例。反序列化的过程是将字节流恢复为对象的过程。

定义一个类表明类的对象可以被序列化

import java.io.Serializable;

public class Sbmx implements Serializable {
    public int age;
    public String name;
}

序列化及反序列化操作

import java.io.*;

public class Test {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        Sbmx p=new Sbmx();
        p.age=18;
        p.name="sbmx";

        serialize(p,"sbmx.bin");


        System.out.println("反序列化结果:" + deserialize("sbmx.bin"));
    }

    public static void serialize(Object obj, String filePath) throws IOException {
        try (FileOutputStream fileOut = new FileOutputStream(filePath);
             ObjectOutputStream objectOut = new ObjectOutputStream(fileOut)) {
            objectOut.writeObject(obj);
        }
    }

    public static Object deserialize(String filePath) throws IOException, ClassNotFoundException {
        try (FileInputStream fileIn = new FileInputStream(filePath);
             ObjectInputStream objectIn = new ObjectInputStream(fileIn)) {
            return objectIn.readObject();
        }
    }
}

序列化的结果

反序列化的结果

反序列化漏洞

1.概念

java的序列化和反序列化本身并不存在漏洞,反序列化漏洞是由于开发者重写了readObject()方法 ,在重写的readObject()方法里面存在恶意代码,实现了链式调用,最终调用了危险函数的位置。

2.实现反序列化漏洞

在被定义的类中重写readObject()方法,并加入恶意代码让其弹出注册表编辑器。

import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.Serializable;

public class Sbmx implements Serializable {
    public int age;
    public String name;

    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        Runtime.getRuntime().exec("Regedit");
        // 默认的反序列化操作
        in.defaultReadObject();
    }
}

雪里温柔
关注
Java序列化反序列化(详解)
qq_62414755的博客
07-20 3万+
java序列化及可序列化讲解,代码清晰易懂。
java序列化反序列化详解
pyth0zn的博客
05-01 3921
serialVersionUID - 0x0e 76 fa 9f 59 73 be c6 是16进制转换为二进制,就是生成的值transient修饰的变量不能被序列化;transient只作用于实现 Serializable 接口;transient只能用来修饰普通成员变量字段;不管有没有 transient 修饰,静态变量都不能被序列化
java序列化反序列化
最新发布
qq_65330380的博客
08-26 248
Serialization(序列化):将java对象以一连串的字节保存在磁盘文件中的过程,也可以说是保存java对象状态的过程。序列化可以将数据永久保存在磁盘上(通常保存在文件中)。表示对象输出流,其中writeObject(Object obj)方法可以将给定参数的obj对象进行序列化,将转换的一连串的字节序列写到指定的目标输出流中。deserialization(反序列化):将保存在磁盘文件中的java字节码重新转换成java对象称为反序列化。实现序列化的类对象必须实现了。三、序列化反序列化地实现。
java基础知识点2:序列化反序列化详解
m0_64355295的博客
06-07 2298
1)Serialization(序列化):将 java 对象以一连串的字节序列保存在本地磁盘中的过程,也可以说是保存 java 对象状态的过程。序列化可以将数据永久保存在磁盘上(通常保存在文件中),避免程序运行结束后对象从内存中消失,字节序列也方便在网络中传输。2)deserialization(反序列化):将保存在磁盘文件中的 java 字节序列重新转换成 java 对象称为反序列化
Java 基础篇】Java序列化反序列化详解
繁依Fanyi的博客
06-26 6209
本文详细介绍了Java序列化反序列化的原理、使用方法和常见应用场景。通过实现接口,可以实现对象的序列化反序列化序列化反序列化是一种重要的机制,可以实现对象的持久化存储、网络传输和缓存等功能。希望本文对你理解和应用Java序列化反序列化有所帮助!
Java序列化反序列化
qq_44885775的博客
04-25 7393
java序列化反序列化知识点
JAVA序列化反序列化的底层实现原理解析
08-25
JAVA序列化反序列化的底层实现原理解析 一、基本概念 JAVA序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程。序列化是把对象转换成有序字节流,以便在网络上传输...
java序列化反序列化,面试必备
12-21
Java序列化反序列化Java开发中常见且重要的概念,尤其在面试中常常被问及。序列化是指将一个Java对象转化为字节序列的过程,这样可以将对象的状态持久化到磁盘上或者在网络中进行传输。反序列化则是相反的过程,...
Java 序列化反序列化实例详解
08-31
Java 序列化反序列化实例详解 Java 序列化反序列化Java 语言中两个重要的概念,它们在分布式应用中扮演着至关重要的角色。序列化是指将对象转换为字节流的过程,而反序列化则是指将字节流恢复为对象的过程。...
深入分析Java序列化反序列化
12-22
本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java序列化  为什么实现了java.io.Serializable接口才能被序列化  transient的作用是什么  怎么自定义序列...
Java中的序列化反序列化
yuiezt的专栏
07-15 3291
序列化(Serialization)与反序列化(Deserialization)是编程中常见的两个概念,它们主要涉及到将数据结构或对象状态转换为可以存储或传输的格式,以及将存储或传输的格式转换回原始的数据结构或对象状态的过程。这两个过程在数据持久化、网络通信、对象深拷贝等多个场景中发挥着重要作用。
java序列化反序列化详解
2401_83707780的博客
04-11 2329
如果默认的序列化机制不符合需求,可以通过实现和方法来自定义序列化反序列化的行为。Java序列化是一个复杂但强大的机制,允许开发者轻松地持久化和传输对象。虽然它对于简单的用途来说可能显得有些重,但它提供了一种标准方式来处理对象的深复制,以及对象状态的保存和恢复。正确使用Java序列化需要对其工作原理有深入的理解,尤其是在涉及版本控制和自定义序列化行为时。
Java-序列化反序列化
yueerba126的博客
07-11 1101
序列化反序列化是开发过程中不可或缺的一步,简单来说,序列化是将对象转换成字节流的过程,而反序列化的是将字节流恢复成对象的过程。为了防止子类被序列化,我们需要实现writeObject()并readObject()在序列化反序列化期间由JVM执行的方法以及这些方法抛出NotSerializableException。我们还可以在这些方法中提供自定义逻辑,这些逻辑将在序列化/去角质素。int i = 10;int j =20;//实现writeObject方法,
Java序列化反序列化
m0_54049074的博客
01-30 1386
1、序列化反序列化的定义:(1)Java序列化就是指把Java对象转换为字节序列的过程Java反序列化就是指把字节序列恢复为Java对象的过程。(2)序列化最重要的作用:在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。反序列化的最重要的作用:根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。总结:核心作用就是对象状态的保存和重建。
java 序列化反序列化
04-29
Java序列化反序列化常用于网络传输和持久化存储等应用场景。在网络传输中,使用序列化可以将Java对象转换为平台无关的字节流,以便在不同平台的应用程序之间传输数据。在持久化存储中,使用序列化可以将Java对象...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值