Android安全攻击——对象序列化OOM问题

最新推荐文章于 2024-04-22 11:20:20 发布
最新推荐文章于 2024-04-22 11:20:20 发布
阅读量1.5k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/houliang120/article/details/58049097
版权

前言


        最近在项目中使用ObjectInputStream/ObjectOutputStream进行对象的序列化和反序列化,出现了OOM的问题,在解决的过程中简单的研究了一下对象的序列化和反序列化(使用Serializable接口)的过程,简单做一个记录。发现了一个持久化存储序列化数据的安全风险,可能会受到恶意攻击,导致必现的OOM。

使用场景


1 数据使用方案


        持久化过程:应用在使用过程中,首先使用ObjectOutputStream的writeObject接口将对象序列化成byte数据,然后利用加密算法对序列化数据进行加密,最终将加密后的数据持久化存储到应用的数据目录下的某个文件中。



        读取解析过程:首先将数据从文件中读取出来,然后用对应的解密算法解密,最后使用对应的ObjectInputStream的readObject接口将字节流解析成对应的对象。



2 遇到的问题

        上述方案在使用的过程中,遇到以下两种OOM的崩溃

(1) OOM 1 
java.lang.OutOfMemoryError: Failed to allocate a 942137073 byte allocation with 4194240 free bytes and 487MB until OOM
	at java.io.ObjectInputStream.readBlockDataLong(ObjectInputStream.java:569)
	at java.io.ObjectInputStream.readContent(ObjectInputStream.java:699)
	at java.io.ObjectInputStream.discardData(ObjectInputStream.java:636)
	at java.io.ObjectInputStream.readNewClassDesc(ObjectInputStream.java:1662)
	at java.io.ObjectInputStream.readClassDesc(ObjectInputStream.java:657)
	at java.io.ObjectInputStream.readNewObject(ObjectInputStream.java:1782)
	at java.io.ObjectInputStream.readNonPrimitiveContent(ObjectInputStream.java:761)
	at java.io.ObjectInputStream.readObject(ObjectInputStream.java:1983)
	at java.io.ObjectInputStream.readObject(ObjectInputStream.java:1940)
(2) OOM 2 
java.lang.OutOfMemoryError: Failed to allocate a 789137073 byte allocation with 2317152 free bytes and 456MB until OOM  
    at java.io.DataInputStream.decodeUTF  
    at java.io.DataInputStream.decodeUTF  
    at java.io.ObjectInputStream.readContent(ObjectInputStream.java:699)  
    at java.io.ObjectInputStream.discardData(ObjectInputStream.java:636)  
    at java.io.ObjectInputStream.readNewClassDesc(ObjectInputStream.java:1662)  
    at java.io.ObjectInputStream.readClassDesc(ObjectInputStream.java:657)  
    at java.io.ObjectInputStream.readNewObject(ObjectInputStream.java:1782)  
    at java.io.ObjectInputStream.readNonPrimitiveContent(ObjectInputStream.java:761)  
    at java.io.ObjectInputStream.readObject(ObjectInputStream.java:1983)  
    at java.io.ObjectInputStream.readObject(ObjectInputStream.java:1940)
        堆栈里面大致的意思是,在用ObjectInputStream的readObject接口进行对象的反序列化的时候,需要分配900M+/700M+的内存,导致上层出现OOM,众所周知,应用java层能够分配的最大内存由系统属性dalvik.vm.heapsize定义,这个值根据不同的厂商和机器都有可能是不一样的,我手上的测试机配如下:


        该机器的heapsize设置为256M,也就是该机器的每个应用虚拟机能够分配的最大内存即为256M,当虚拟机需要的内存超过256M时,会出现OutOfMemoryError的问题,这边顺便记录一下,很多人用Exception去捕获所有的异常,但是这样并不能捕获OutOfMemoryError,看一下继承关系:


        由继承关系可知,OutOfMemoryError是继承自Error,和Exception并不是一个继承分支,因此想要捕获包括Error在内的所有异常,必须使用Throwable去捕获。

3 分析问题


3.1 堆栈分析


        上述两个OOM实际上出现的原因是一样的,下面使用OOM1来着重分析这个问题,也就是最终调用ObjectInputStream.readBlockDataLong出现的OOM问题,先看一下这个函数: 



                

        

        

    




        

            

                    
                      最低0.47元/天 解锁文章
                        
                    
            

        

    

      

        

            

              
                
                  houliang120
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  3
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
java 序列 内存溢出_Java内存区域与内存溢出异常

				
			

			

				

					weixin_33314040的博客
				

				

					02-24
					
					366
					
				

			

		

		

			
				
引言对于Java程序员来说,在虚拟机自动内存管理机制的帮助下,不再需要为每一个new操作去写配对的delete/free代码,不容易出现内存泄漏和内存溢出问题,由虚拟机管理内存。但正是因为Java程序员把内存控制权利交给了Java虚拟机,一旦出现内存泄漏和溢出方面,如果不了解虚拟机是如何使用内存的,那么排查错误将会非常困难。2.2 运行时数据区域2.2.1 程序计数器程序计数器是一块较小的内存空间...

			
		

	



                

              
                



	

		

			

				
					
android序列(Parcelable)

				
			

			

				

					02-15
				

			

		

		

			
				
Android开发中,序列是将对象转换为可存储或传输的形式的过程,这对于数据持久、网络通信等场景至关重要。Android提供了两种主要的序列方式:`Serializable`和`Parcelable`。本文将深入探讨`Parcelable`,它...

			
		

	



                


  
              

                


	

		

			

				
					
Thrift反序列导致OOM(转)

				
			

			

				

					weixin_34043301的博客
				

				

					04-21
					
					166
					
				

			

		

		

			
				
概述
最近线上的日志处理服务偶尔会出现Out Of Memory的问题,从Exception的call stack中顺藤摸瓜,最终定位到是thrift反序列问题。
发现问题
先交代一下问题现场:

thirft版本: 0.5.0,很久远的版本,但是公司统一使用的版本;
反序列使用的协议:TCompactProtocol协议;

出错的call stack:
Exceptio...

			
		

	





	

		

			

				
					
Android 序列(Serializable和Parcelable)

					
最新发布

				
			

			

				

					2401_84123232的博客
				

				

					04-22
					
					809
					
				

			

		

		

			
				
然后你会发现没有。Android Studio 是默认关闭 serialVersionUID 生成提示的,我们需要打开Setting,执行如下操作:再次回到UserSerializable类,有个提示,就可以添加serialVersionUID了。效果如下:💥 实现ParcelableParcelabel的实现,不仅需要实现Parcelabel接口,还需要在类中添加一个静态成员变量CREATOR,这个变量需要实现 Parcelable.Creator 接口,并实现读写的抽象方法。

			
		

	



		

			
		



	

		

			

				
					
序列和反序列原理解析及ObjectOutputStream出现EOF异常分析解决

				
			

			

				

					m0_48333563的博客
				

				

					09-26
					
					996
					
				

			

		

		

			
				
序列和反序列原理解析和demo演示,ObjectOutputStream出现EOF异常源码分析和解决。

			
		

	





	

		

			

				
					
android soap对象序列,android – 如何将SoapObject转换或反序列为我的对象

				
			

			

				

					weixin_34416909的博客
				

				

					05-26
					
					303
					
				

			

		

		

			
				
我不太了解,但我认为您希望您的方法应该返回自定义类的对象而不是SOAP对象.所以我在我的类似功能中做到了这一点..SoapObject soapObject = (SoapObject) envelope.getResponse(); // SOAP ObjectrealTimeUtil = new RealTimeUtil(); // CUSTOM Object of My Classif(so...

			
		

	





	

		

			

				
					
java性能安全OOM问题排查、Arthas分析高CPU问题、防止Dos攻击

				
			

			

				

					weixin_43837268的博客
				

				

					09-21
					
					1345
					
				

			

		

		

			
				
4、由于 monitor、trace、watch 等命令是通过字节码增强技术来实现的,会在指定类的方法中插入一些切面来实现数据统计和观测,因此诊断结束要执行 shutdown 来还原类或方法字节码,然后退出 Arthas。查看新生代最高1000M,如果大数据量调用,jvm会把产生的大对象分配在新生代,新生代full gc后放到老年代,老年代gc后触发OOM,就会像类似死循环一样,一直full gc了。3、如果调用入参不明确的话,可以使用 watch 观察方法入参,并根据方法执行时间来过滤慢请求的入参。

			
		

	





	

		

			

				
					
AndroidStudio————实战演练——仿美团外卖菜单

				
			

			

				

					04-06
				

			

		

		

			
				
在本项目中,"AndroidStudio————实战演练——仿美团外卖菜单"是一个专注于使用Android Studio开发的应用程序实战案例,目标是创建一个类似于美团外卖的菜单功能。这个项目涵盖了多个Android开发的关键知识点,...

			
		

	





	

		

			

				
					
解决Android解析图片的OOM问题的方法!!!

				
			

			

				

					09-01
				

			

		

		

			
				
解决Android解析图片的OOM问题主要涉及到对Bitmap对象的合理管理和高效加载策略。下面将详细介绍如何避免和解决这一问题。  首先,我们需要理解BitmapFactory类在加载图片时的角色。BitmapFactory提供了一系列的...

			
		

	





	

		

			

				
					
安卓Android源码——图片下载以及内存处理防OOM.zip

				
			

			

				

					10-11
				

			

		

		

			
				
本资料包“安卓Android源码——图片下载以及内存处理防OOM.zip”聚焦于如何在Android应用中有效地下载图片并防止因内存溢出(Out Of Memory,简称OOM)而引发的应用崩溃。  一、图片下载 1. **异步下载**:为了提升...

			
		

	





	

		

			

				
					
Java安全漫谈 - 07.反序列篇(1)1

				
			

			

				

					08-03
				

			

		

		

			
				
2. **使用安全序列库**:选择已修复已知安全问题的库,并保持更新。 3. **自定义反序列逻辑**:在`readObject`方法中添加安全检查,避免执行不受控制的代码。 4. **启用安全性配置**:例如,使用Java的`...

			
		

	





	

		

			

				
					
Android Intent从入门到熟练以及Parcelable序列传递复杂数据容易引发的安全问题

				
			

			

				

					个人笔记
				

				

					12-07
					
					564
					
				

			

		

		

			
				
Parcelable序列的使用,关于intent.getParcelableArrayExtra的使用
0x10 Intent 组件消息传递
0x11 显式Intent
0x12 隐式Intent
0x13 应用间消息传递
0x20



			
		

	





	

		

			

				
					
objectOutPutStream如果不调用reset()方法会导致内存溢出

				
			

			

				

					vnode
				

				

					04-19
					
					1721
					
				

			

		

		

			
				
在Java其他IO类设计中,OutputSteam是不需要什么reset方法的.这也是Java中ObjectOutputStream和其他IO类使用上不同的地方。

若不是这个OutOffMemery,我想我不会发现这个问题。而且大多数我们序列对象到文件系统,或者发送少量的数据,都不会有什么大的问题。但是对于ObjectOutputStream发送大量数据时,没有调用reset()方法就会产

			
		

	





	

		

			

				
					
netty之二次解码MessageToMessageDecoder

				
			

			

				

					u012391423的博客
				

				

					07-27
					
					1697
					
				

			

		

		

			
				
目录

二次解码

ObjectEncoder 如何实现编码

1、 writeStreamHeader

2、writeClassDescriptor

总结

protobuf的编码解码过程

1、ProtobufVarint32FrameDecoder

2、ProtobufDecoder

3、ProtobufVarint32LengthFieldPrepender

4、ProtobufEncoder

总结



二次解码

我们将数据帧 转为正确的byte数组 我们称之为一次解码

将byte

			
		

	





	

		

			

				
					
4-java安全——java序列机制分析

				
			

			

				

					网络安全
				

				

					06-23
					
					427
					
				

			

		

		

			
				
本文是根据java的序列机制来分析java序列的流程,从而理解序列后res文件中的字符串具体含义(看不懂的同学建议先看完《java的序列机制》)。



通过前面的学习不难发现其实整个序列过程就两行代码:


ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream);
objectOutputStream.writeObject(student);



本次分析是以实现Serializab..

			
		

	





	

		

			

				
					
NIO框架之MINA源码解析(四):粘包与断包处理及编码与解码

				
			

			

				

					younger_z的专栏
				

				

					09-08
					
					908
					
				

			

		

		

			
				
1、粘包与段包




粘包:指TCP协议中,发送方发送的若干包数据到接收方接收时粘成一包,从接收缓冲区看,后一包数据的头紧接着前一包数据的尾。
造成的可能原因:

    发送端需要等缓冲区满才发送出去,造成粘包

    接收方不及时接收缓冲区的包,造成多个包接收




断包:也就是数据不全,比如包太大,就把包分解成多个小包,多次发送,导致每次接收数据都不全。


			
		

	





	

		

			

				
					
java基础之IO流--ObjectOutputStream(专门用于操作对象)

				
			

			

				

					ljh_learn_from_base的博客
				

				

					09-02
					
					1547
					
				

			

		

		

			
				
ObjectOutputStream 常用于对象的持久,也叫做对象的可串行
ObjectOutputStream 的

			
		

	





	

		

			

				
					
一次OOM分析-ByteArrayOutPutStream#write引起

				
			

			

				

					thewindkee的博客
				

				

					10-23
					
					4530
					
				

			

		

		

			
				
本文产生的原因
上传一个大文件文件的时候报了OOM

查看代码
以前的上传代码中使用了
URL url = new **URL**(urlStr);
conn = (HttpURLConnection) url.openConnection();
....省略
out = conn.getOutputStream();
conn.setRequestMethod("POST");
conn.con...

			
		

	





	

		

			

				
					
Android 内存溢出解决方案(OOM) 整理总结

				
			

			

				

					hhlin1的专栏
				

				

					08-03
					
					541
					
				

			

		

		

			
				
一般我们大家在遇到内存问题的时候常用的方式网上也有相关资料,大体如下几种:
一:在内存引用上做些处理,常用的有软引用、强引用、弱引用
二:在内存中加载图片时直接在内存中做处理,如:边界压缩
三:动态回收内存
四:优Dalvik虚拟机的堆内存分配
五:自定义堆内存大小
可是真的有这么简单吗,就用以上方式就能解决OOM了?不是的,继续来看...
下面小马就照着上面的次序来整理下解决的

			
		

	





	

		

			

				
					
Android内存OOM详解.pdf

				
			

			

				

					11-26
				

			

		

		

			
				
本文档深入探讨了Android内存优OOM(Out Of Memory)处理、内存泄漏的原因及对策,以及Bitmap内存管理的相关知识。在Android应用开发中,理解内存管理至关重要,因为每个应用程序都会被分配一个独立的虚拟机...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 3

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值