序列化与反序列化

已于 2023-06-30 11:51:04 修改
阅读量99 收藏
点赞数 2
文章标签: java php
于 2023-06-27 21:02:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/agrilly/article/details/131420943
版权

目录

1、PHP反序列化漏洞的成因

2、java类继承

3、java方法的重写

4、编写JAVA反序列化的代码实现序列化与反序列化

5、重写readObject方法调用计算器,实现反序列化漏洞的原理

6、尝试使用代码解释什么是序列化漏洞

php反序列化:

php类的概念

php四种魔术方法:

1、PHP反序列化漏洞的成因

序列化与反序列化是为了数据在网上传递的完整性,但是被攻击者找到了漏洞,接下来介绍漏洞。

反序列化的时候会调用方法,魔术方法(魔术方法是php语言里代码执行自动调用的方法,例如construct()、destruct()),预先在类里定义好的魔术方法会自动调用,这些被调用的魔术方法会调用别的方法(危险方法,例如system)最终实现链式调用 。

2、java类继承

public为Java里的关键字,public定义为公开,person为一个类,类里面可以有变量、函数等等。在类里被关键字static修饰的函数不能被继承,这是static关键字的作用。

 stu为继承person的子类,继承需要使用关键字extends,继承后stu类可以使用父类里定义的变量、函数(除被static关键字修饰的变量、函数)

 在main函数中定义变量

3、java方法的重写

 重写:父类本身有speak()方法,子类可以自己写一个具有子类特点的speak()方法:

父类person代码不变,子类stu代码如下。重写是为了实现子类的独特性,子类不可能与父类有完全相同的特性。

main函数代码也不变

 输出stu speak具有stu类的特点,重写成功。

4、编写JAVA反序列化的代码实现序列化与反序列化

 序列化:ObjectOutputStream 类--> writeObject()函数
反序列化:ObjectInputStream类 --> readObject()函数

implement在java中为接口,throws为java中抛出异常

序列化代码:使用writeObject()函数

    public static void serialize(Object obj, String filePath) throws IOException {
        try (FileOutputStream fileOut = new FileOutputStream(filePath);
             ObjectOutputStream objectOut = new ObjectOutputStream(fileOut)) {
            objectOut.writeObject(obj);
        }
    }

反序列化代码,使用 readObject()函数

public static Object deserialize(String filePath) throws IOException, ClassNotFoundException {
        try (FileInputStream fileIn = new FileInputStream(filePath);
             ObjectInputStream objectIn = new ObjectInputStream(fileIn)) {
            return objectIn.readObject();
        }
    }

Usr类中定义了两个变量name、age

可以在文件夹中发现多了一个alice文件,查看内容为序列化后的格式

5、重写readObject方法调用计算器,实现反序列化漏洞的原理

在Usr类里 重写后,再次执行Test类可以实现调用计算器

6、尝试使用代码解释什么是序列化漏洞

PHP的反序列化和java的反序列化是两种不同的类型,序列化只为实现数据的完整高效的传输

PHP反序列漏洞是由于类里面的魔术方法调用了某个函数,该魔术函数又调用了别的函数,最终执行了危险函数;JAVA反序列化漏洞是由于开发者重写了readObject方法,该readObject方法方法调用了别的方法,最终执行了危险方法

php反序列化:

php类的概念

类是一种类型,可以定义具体对象在类中并实现类的属性。

php有四种魔术方法:

sleep函数,需要序列化serialize()

wakeup函数需要反序列化unserialize,反序列化又需要序列化,反序列化是针对序列化后的变量

construct函数创建对象,需要调用函数达到输出效果

destruct函数需要创建对象才能销毁对象,其中unset()用来销毁变量并释放内存空间

php序列化可以确保数据完整的传输,自定义魔术函数在序列化后可自动调用,通过在魔术函数中调用其它函数,实现链式调用函数形成反序列化漏洞。

java反序列化即为4、5结合,重写了readobject()方法,调用了Runtime.getRuntime().exec("calc");执行了打开计算机操作。

agrilly
关注
Java中的序列化反序列化
yuiezt的专栏
07-15 2939
序列化(Serialization)与反序列化(Deserialization)是编程中常见的两个概念,它们主要涉及到将数据结构或对象状态转换为可以存储或传输的格式,以及将存储或传输的格式转换回原始的数据结构或对象状态的过程。这两个过程在数据持久化、网络通信、对象深拷贝等多个场景中发挥着重要作用。
.Net序列化反序列化
小目标一个亿
03-30 5127
序列化,又称为串行化,是.NET运行时环境用来支持用户定义类型的流行的机制。序列化就是把一个对象保存到一个文件或数据库字段中去,反序列化就是在适当的时候把这个文件再转化成原来的对象使用。其目的是以某种存储形成使自定义对象持久化,或者将这种对象从一个地方传输到另一个地方。 1、.NET支持的对象序列化的几种方式。 二进制序列化:对象序列化之后是二进制形成的,通过BinaryFormatter类来...
java序列化反序列化详解
pyth0zn的博客
05-01 3573
serialVersionUID - 0x0e 76 fa 9f 59 73 be c6 是16进制转换为二进制,就是生成的值transient修饰的变量不能被序列化;transient只作用于实现 Serializable 接口;transient只能用来修饰普通成员变量字段;不管有没有 transient 修饰,静态变量都不能被序列化
C++ JSON对象序列化反序列化
zccmid的博客
01-15 1413
C++ 反射 JSON 对象 序列化 反序列化 封装
C# 序列化反序列化
明明明的博客
07-05 4429
C# 序列化
C#序列化反序列化
weixin_42314624的博客
10-29 2896
C#序列化反序列化主要通过BinaryFormatter对象实现,BinaryFormatter类提供了反序列化方法Deserialize(Stream serializationStream),序列化方法Serialize(Stream serializationStream, object graph),它主要跟FileStream对象结合使用。
json序列化反序列化
qq_53217825的博客
10-17 1626
序列化反序列化见解,js,c#,furion中序列化使用场景及演示
Qt知识点梳理 —— 自定义数据结构序列化反序列化
Lizhifun
01-18 3887
定义 序列化:将对象或数据结构转换为二进制序列 反序列化:二进制序列转换为对象或数据结构 使对象或数据结构更方便地在网络上传输或者保存在本地文件中。 本文展示通过序列化将自定义数据结构序列化到硬盘文件中,再从文件反序列出来还原数据信息。 Qt中序列化反序列化 Qt中使用QDataStream类实现对象序列化序列化: QFile file("file.rx"); //定义文件路径 file.open(QIODevice::WriteOnly); //以只写模式打开 Q
Qt下实现序列化反序列化
lusanshui的博客
12-18 9354
简述 本文介绍作者在Qt工程中如何将流数据编程结构体对象,把结构体数据编程流数据的实现。代码量不大,非常简洁。 代码之路 写了一个工具类MyDatastream,使用时需要实例化对象,调用相应的序列化反序列化函数即可,读者可以根据自己定制的结构体自行扩展。例子中的结构体如下: struct UserInfo { unsigned char id[20]; int idint; uns...
Java中对象序列化反序列化详解
09-03
本文将深入探讨Java中的对象序列化反序列化的概念、原理、实现方法以及相关的注意事项。 **一、对象序列化的概念和作用** 对象序列化是将一个Java对象转换成字节流的过程,这个字节流可以存储在磁盘上,也可以在...
深入分析Java序列化反序列化
12-22
序列化是一种对象持久化的手段。普遍应用在网络传输、RMI等场景中。本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java序列化  为什么实现了java.io....
深入理解C#序列化反序列化的详解
01-01
在我们深入探讨C#序列化反序列化之前我们先要明白什么是序列化,它又称串行化,是.NET运行时环境用来支持用户定义类型的流化的机制。序列化就是把一个对象保存到一个文件或数据库字段中去,反序列化就是在适当的...
XML序列化反序列化 实战
08-16
XML序列化反序列化是.NET框架中处理数据交换的重要技术,它允许我们将对象的状态转换为XML格式的数据,也可以将XML数据恢复为等效的对象。这个实战项目专注于使用C#实现这一过程,使得开发者能够方便地在XML文件和...
C#中datatable序列化反序列化实例分析
01-01
本文实例讲述了C#中datatable序列化反序列化,分享给大家供大家参考。具体方法如下: 一、datatable序列化 public string getSendDetailQuery(DateTime timeS, DateTime timeE, string sccount) { try { ...
Spring Boot 学习和使用
cesske的博客
09-24 1209
Spring Boot是一款开源的Java Web应用框架,旨在简化Spring应用的初始搭建以及开发过程。Spring Boot通过整合Spring技术栈中的诸多关键组件,为开发者提供了一种快速、简便的Spring应用开发方式。它遵循“约定优于配置”的原则,通过自动配置、起步依赖和内置的Servlet容器,极大地简化了传统Spring应用的配置和部署过程。Spring Boot通过其自动化配置、起步依赖、内嵌服务器等特性,极大地简化了Spring应用的开发和部署过程。
工厂模式的介绍及实现
最新发布
户伟伟的博客
09-25 142
工厂模式(Factory Pattern)是一种创建型设计模式,提供了一种创建对象的接口,而无需显式指定对象的具体类。在这种模式中,我们通过定义一个工厂类,专门负责生产各种类型的对象,这样我们可以避免直接在代码中实例化具体类,使代码更具扩展性、灵活性和维护性。解耦:客户端代码与具体的类解耦,避免了对象创建逻辑的重复。简化对象创建:通过工厂统一管理对象的创建逻辑,使代码更清晰易懂。扩展性强:新增类时,只需在工厂中增加创建逻辑,而不必修改现有的业务代码。
基于JavaWeb开发的Java+SpringMvc+vue+element实现驾校管理系统详细设计
央顺科技官方博客
09-24 1011
机遇与挑战始终并存。在开放的互联网平台面前,驾校预约管理系统的信息管理面临着巨大的挑战。传统的管理模式局限于简单数据的管理,无法适应不断变化的市场格局。在早期阶段,在将计算机技术和网络技术融入驾校预约管理系统数据管理方法之前,所有管理方式都通过人工操作完成了管理信息的。系统管理也都将通过计算机进行整体智能化操作,对于驾校预约管理系统所牵扯的管理及数据保存都是非常多的,举例像所有详细信息包括,管理员;首页、个人中心、学员管理、驾校教练管理、驾校车辆管理、预约管理、取消预约管理、驾校公告管理、系统管理。
Java Alibaba Druid 数据库连接池
miracle的专栏
09-24 789
Java开发中,数据库连接池是性能优化的重要一环。而作为一款强大的数据库连接池解决方案,凭借其和对多种数据库的支持,成为了许多企业级应用的首选。本篇文章将介绍Druid的核心特性,并结合不同数据库的实际用法。
Java对象序列化反序列化详解
"本章主要介绍了Java对象的序列化反序列化,包括基本概念、实现过程、相关接口以及注意事项。" 在Java编程中,对象的序列化反序列化是两个重要的概念。对象序列化是将Java对象转换为可存储或可传输的二进制字节...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值