序列化与反序列

最新推荐文章于 2022-04-25 13:55:09 发布
最新推荐文章于 2022-04-25 13:55:09 发布
阅读量102 收藏
点赞数
分类专栏: web安全 文章标签: 序列化与反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/frinck/article/details/101228120
版权

概述?

序列化与反序列化时相对于对象来说的,在很多应用中让他们需要将存在内存中的对象离开内存,从而进入硬盘以便长期保存。例如在web服务器中session对象中,当有10万用户并发访问的时候,就有10万个session对象,此时内存可能吃不消,于是web容器就把一些session先序列化到硬盘中,等再要用的时候再再硬盘中反序列到内存中。

1️⃣ 序列化


⚪️ 从概述上来看序列化就是将对象永久序列化保存于硬盘中的一个文件中,或者在网络上传输时将对象序列化为二进制流字节序列来传输的一种技术

⚪️ java进行序列化一般调用java.io.Serializable接口,在Java类中启用可序列化。ObjectOutputStream代表对象输出流,他的writeObject(object obj)方法可以对指定的参数进行序列化

public class Student   implements Serializable {
	/**
	 * 
	 */
	private static final long serialVersionUID = 4353290429541109039L;
	private String name;
    public Student(String name){
        this.name = name;
    }
    public String toSting(){
        return "my name is " + name;
    }  
	public static void main(String[] args) throws Exception{

        Student student = new Student("ramboo");
       
        File file = new File("D:"+ File.separator+"text_0922.txt");
        ObjectOutputStream oos = null;
        OutputStream out = new FileOutputStream(file);
        oos = new ObjectOutputStream(out);
        oos.writeObject(student);
        oos.close();
    }

2️⃣ 反序列化

?反序列化就是调用函数使字节流转换为对象的过程
ObjectInputStream代表对象输入流,它的readObject()方法从一个源输入流中读取字节序列,再把它们反序列化为一个对象,并将其返回。

public static void main(String[] args) throws Exception{
    File file = new File("D:"+ File.separator+"text_0922.txt");
    ObjectInputStream ois = null;
    InputStream input = new FileInputStream(file);
    ois = new ObjectInputStream(input);
    Student student = (Student)ois.readObject();
    System.out.println("==>:"+student.toSting());
    ois.close();
}

3️⃣ 反序列化漏洞

?反序列化漏洞,就是程序传送了不安全的反序列化对象,并且程序没有对此不安全的对象做过滤及限制,导致执行了不安全的对系统造成破坏性的操作。
例如上面如果序列化的是

private void readObject(ObjectInputStream stream)
            throws Exception{
        Object runTime=Class.forName("java.lang.Runtime")
                .getMethod("getRuntime",new Class[]{})
                .invoke(null);
        Class.forName("java.lang.Runtime")
               	.getMethod("exec", String.class)
        		
                .invoke(runTime,"regedit");
    }

那么反序列化的时候就会运行regedit,打开注册表了.

4️⃣ 实例 ?

⚪️正常序列化:在硬盘下生成序列化的文件
在这里插入图片描述
⚪️正常反序列化:将在硬盘下序列化的文件反序列化为对象
在这里插入图片描述
⚪️在要序列化的文件中写入定制的函数,不仅仅执行了正常反序列的函数还执行了恶意调用的函数
在这里插入图片描述

5️⃣ 修复建议

?对反序列所调用的函数进行审核检查.

frinck
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
深入分析Java的序列化反序列化
12-22
序列化是一种对象持久化的手段。普遍应用在网络传输、RMI等场景中。本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java的序列化  为什么实现了java.io....
Fortify安全漏洞一般处理方法
ting2909的博客
09-17 2651
前段间公司又一轮安全审查,要求对各项目进行安全扫描,排查漏洞并修复,手上有几个历史项目,要求在限定的间内全部修复并提交安全报告,也不清楚之前是如何做的漏洞修复,这次使用工具扫描出来平均每个项目都还有大概100来个漏洞。这些漏洞包括SQL语句注入,C#后端代码,XML文件,以及前端HTML,JS代码几个方面,由于一些项目比较老旧,限定的间又短,做大的改动如果测试不到位,很难保证不出什么问题,所...
原来Java反序列化远程执行漏洞这么简单
systemino的博客
05-24 2142
在这里我们对Java中反序列化问题引发的远程代码执行漏洞的原理进行介绍。为了简化说明,在不引入第3方库的前提下进行操作,希望能起到抛砖引玉的效果。 主要有3个部分组成: Java的省机制 Java的序列化处理 Java的远程代码执行 Java的射与代码执行 我们先看1个简单的例子,使用Java调用计算器程序:中国菜刀 import java.io.IOException; ...
.Net序列化反序列化
小目标一个亿
03-30 5045
序列化,又称为串行化,是.NET运行环境用来支持用户定义类型的流行的机制。序列化就是把一个对象保存到一个文件或数据库字段中去,反序列化就是在适当的候把这个文件再转化成原来的对象使用。其目的是以某种存储形成使自定义对象持久化,或者将这种对象从一个地方传输到另一个地方。 1、.NET支持的对象序列化的几种方式。 二进制序列化:对象序列化之后是二进制形成的,通过BinaryFormatter类来...
Java IO篇:序列化反序列化
热门推荐
张维鹏的博客
01-12 1万+
两个服务之间要传输一个数据对象,就需要将对象转换成二进制流,通过网络传输到对方服务,再转换成对象,供服务方法调用。这个编码和解码的过程称之为序列化反序列化。所以序列化就是把 Java 对象变成二进制形式,本质上就是一个byte[]数组。将对象序列化之后,就可以写入磁盘进行保存或者通过网络中输出给远程服务了。之,反序列化可以从网络或者磁盘中取的字节数组,反序列化成对象,在程序中使用。
Java序列化反序列化
qq_44885775的博客
04-25 6833
java序列化反序列化知识点
Java中对象序列化反序列化详解
09-03
主要介绍了Java中对象序列化反序列化,较为详细的分析了java中对象序列化的概念、原理、实现方法及相关注意事项,具有一定参考借鉴价值,需要的朋友可以参考下
序列化反序列化
12-21
序列化反序列化 概述 序列化: 就是使用流的技术将对象中的数据保存到文件中。 反序列化: 就是使用流的技术将文件中的数据取到对象中。 使用到的流技术 序列化:ObjectOutputStream 反序列化:...
深入理解Java对象的序列化反序列化的应用
09-05
本篇文章是对Java中对象的序列化反序列化进行了详细的分析介绍,需要的朋友参考下
XML序列化反序列化 实战
08-16
可以将已知结构的XMl文件生成C#结构体代码,并将该结构体与xml文件进行互相转换
xss攻击实例
frinck的博客
10-16 5019
Cross Site Script 攻击者利用应用程序的动态展示数据功能,在 html 页面里嵌入恶意代码。当用户浏览该页之,这些嵌入在 html 中的恶意代码会被执行,用户浏览器被攻击者控制,从而达到攻击者的特殊目的。 1.分类 ????射型跨站脚本攻击 攻击者会通过社会工程学手段,发送一个 URL 连接给用户打开,在用户打开页面的同,浏览器会执行页面中嵌入的恶意脚本。 ✨存储型跨站脚本攻...
[全]!!!!日志分析大全
frinck的博客
10-15 1503
日志分析 欢迎访问个人网站下载资源 1.Linux日志分析 由系统进程rsyslogd统一管理系统日志 rsyslogd服务配置文件解析 主配置文件为/etc/rsyslog.conf分为以下三个单元 MODULES ####是/sbin/rsyslogd要加载的模块 格式:$ModLoad module-name(在/lib64/rsyslog中模块注意不用添加.so),在开启日...
ms sql server手工注入提权原理及高级技巧
frinck的博客
10-09 740
ms sql server 判断注入点: and 1=1返回正常 and 1=2 返回错误 ✌以下注入判断都是通过错误信息来进行查询数据,和修改数据库 判断版本号 : and @@ version>0: mircosoft sql server :t5.0->win2000 server ,nt5.2->win2003 ,nt6.1->win7 判断当前连接的数...
应急响应
frinck的博客
09-24 717
1️⃣简介???????? 标准:GB/T 24363-2009,GB/T 20988-2007 ,GB/Z 20985-2009 ,GB/Z 20986-2007 信息安全应急响应计划规范 ⚪️信息安全事件 由于自然或者人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或在信息系统内发生对社会造成负面影响的事件。 ⚪️ 应急响应 组织为了应对突发/重大信息安全事件的发生所做的准备,以及在事件发生后所...
sqlmap使用
frinck的博客
09-26 646
1️⃣sqlmap简介???????? sqlmap是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,日前支持的数据库是MS-SQL,MYSQL,ORACLE,POSTGRESQL,DB2,SQLlite,FIrebird。SQLMAP采用四种独特的SQL注入技术,分别是盲推理SQL注入,UNION查询SQL注入,堆查询和基于间的SQL盲注入。其广泛的功能和选项包括数...
‍web (iis)超强加固
frinck的博客
10-09 317
????‍????中间件加固:iis 启动(网站都已dvbbs作为示范) 程序–管理工具–iis服务管理器–网站—dvbbs—右键–属性 修改默认日志的路径:网站—配置—d:\dvbbslog:权限:仅system可写,administrator: 日志分析工具:星图full,splunk,biglog 认证:cisp-pte,ire 默认路径:c:\windows\system32\logfile...
XSS跨站脚本攻击
frinck的博客
09-23 120
XSS跨站脚本攻击 1.简介 XSS(Cross Site Scripting)跨站脚本攻击是利用系统对恶意用户的输入影响其他用户HTML的过滤不足,导致执行恶意用户的的代码.从而盗取用户cookie,用户资料等威胁. 2.整体框架 2.1XSS的发现与利用 2.1.1原理:网站未对用户的输入进行过滤 2.1.2常见场景: ``有回复框的地方都可能存在xss`` 搜索内容发表文章的...
Lan仿朋友圈系统开源,可用于表白墙等微商相册,商品图册等.rar
最新发布
04-30
Lan仿朋友圈系统开源,可用于表白墙等微商相册,商品图册等.rarLan仿朋友圈系统开源,可用于表白墙等微商相册,商品图册等.rar
数据库序列化反序列化
10-27
数据库序列化反序列化是将对象转换为字节序列并存储到数据库中,或者从数据库中取字节序列并将其转换为对象的过程。这种技术可以用于将对象存储到数据库中,以便在需要可以快速地检索和使用它们。在数据库中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值