简单描述什么是反序列化漏洞

于 2023-11-21 17:59:09 发布
阅读量79 收藏 1
点赞数 2
文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64429364/article/details/134537540
版权

第一步了解一下什么是序列化、反序列化

        1.序列化与反序列化概念

        序列化:把对象转换为字节序列的过程称为对象的序列化。
        反序列化:把字节序列恢复为对象的过程称为对象的反序列化。

        上面是专业的解释,现在来点通俗的解释。

        在代码运行的时候,可以是一个,也可以是一类对象的集合,很多的对象数据,这些数据中,有些信息我们想让他持久的保存起来,那么这个序列化。

        2.序列化的作用

        官方解释:序列化不仅仅用于网络通信或数据存储。 它也用于进程间通信、远程过程调用、对象关系映射等。 任何需要将数据从一种表示转换为另一种表示的场景都可能涉及到序列化。 总之,序列化是一种将数据或对象的状态转换为通用格式的过程,以便于存储、传输或在不同的环境中使用。

        简单通俗描述(并不是非常准确,简易理解):为了保证所书写的代码(数据)可以在互联网上完整性传输,尽可能避免丢包乱序等情况。

什么是反序列化漏洞

        反序列化漏洞是基于序列化和反序列化的操作,在反序列化——unserialize ()时存在用户可控参数,而反序列化会自动调用一些魔术方法,如果魔术方法内存在一些敏感操作例如eval ()函数,而且参数是通过反序列化产生的,那么用户就可以通过改变参数来执行敏感操作,这就是反序列化漏洞。

        反序列化漏洞一般出现在链式调用当中,不经意间在函数多次调用后出现代码执行情况。

小黑球员
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
简单描述Json反序列化出现漏洞的原因
悟已往之不谏,知来者之可追
12-08 971
背景简介 Json序列化就是将数据对象转化为Json字符串。在序列化过程中抛弃了类型信息,所以反序列化时候只有提供类型信息才能准确的反序列化。 序列化通过会通过网络传输对象,而对象中往往有敏感信息,所以序列化常常成为黑客的攻击点,攻击者巧妙的利用反序列化过程构造恶意代码,使得程序在反序列化过程中执行任意代码。 Java工程中经常使用的Apache Commons Collections、Jacks...
【网络安全 | CTF】记一次PHP序列化反序列化解题详析
等风来
08-24 3881
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
浅谈PHP序列化,反序列化
weixin_43553654的博客
12-24 420
1.序列化是什么意思呢?序列化就是把本来不能直接存储的数据转换成可存储的数据,并且不会丢掉数据格式 serialize();2.反序列化什么意思呢?其实就是字面的意思,把序列化的数据,转换成我们需要的格式 unserialize();那么什么是序列化呢,序列化说通俗点就是把一个对象变成可以传输的字符串。举个例子,不知道大家知不知道json格式,这就是一种序列化,有可能就是通过ar...
什么是序列化和反序列化
_
02-03 8481
1、序列化和反序列化的定义: (1)Java序列化就是指把Java对象转换为字节序列的过程 Java反序列化就是指把字节序列恢复为Java对象的过程。 (2)序列化最重要的作用:在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。 反序列化的最重要的作用:根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。 总结:核心作用就是对象状态的保存和重建。(整个过程核心点就是字节流中所保存的对象状态及描述信息) 2、json/xml的数据传
序列化与反序列化介绍
热门推荐
shsh1234567890的博客
01-23 1万+
序列化与反序列化介绍
Java序列化和反序列化为什么要实现Serializable接口
Tyshawn的博客
08-27 3236
最近公司的在做服务化, 需要把所有model包里的类都实现Serializable接口, 同时还要显示指定serialVersionUID的值. 听到这个需求, 我脑海里就突然出现了好几个问题, 比如说: (1) 序列化和反序列化是什么? (2) 实现序列化和反序列化为什么要实现Serializable接口? (3) 实现Serializable接口就算了, 为什么还要显示指定serialVers...
spark(kryo)、hadoop(writable)、jdk(serializable)-序列化
DCHAO的博客
10-07 717
一、SRC 一个类在jvm中是有结构的,但即使是在jvm中,也是一堆数据。网络只能传文本,所以需要序列化和反序列化。 通过几种方式的序列化后文本输出到本地文件,可以对比下大小。 二、jdk的序列化 将类的上级所有层次都序列化,相当于把类的所有描述信息写在文本中传输。效率较低。 ObjectOutputStream底层就是调用的DataOutputStream,只不过把类的层级、包名和数据一起传了。 三、hadoop 如果提前告知对方类的结构,则只需要传数据。效率会高。MR就是这种思路,所以MR用的是xxxW
反序列化漏洞详解
weixin_56714714的博客
07-25 775
反序列化漏洞 什么是序列化和反序列化? ​ PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果 ​ 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行getshell等一系列不可控的后果。 ​ 反序列化漏洞并不是PHP特有,也存在于java,python等语言中,但其原理基本相同 为什么存在反序列化? ​ 1.大型网站中类创建的对象多的时候会占用大量的空间,反序列化
Java “后反序列化漏洞” 利用思路1
08-03
Java "后反序列化漏洞"是指在程序进行反序列化操作之后,恶意构造的序列化对象能够触发非预期的行为,通常包括执行任意代码。这种漏洞常见于Java平台,因为Java的序列化机制允许对象状态的持久化,但也为攻击者提供...
PHP序列化/对象注入漏洞分析
12-18
当一个程序接受用户输入并未经充分验证就直接反序列化时,就可能出现对象注入漏洞。 在描述中提到的场景中,目标应用程序存在一个潜在的漏洞,因为它使用`unserialize()`函数来处理用户提供的数据,即`$_REQUEST['r...
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 985
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
一文带你了解序列化与反序列化基本原理与操作
m0_68987535的博客
07-06 1万+
序列化是指将对象转换为字节序列的过程,以便于存储或传输。在序列化过程中,对象的状态信息将被转换为字节流,可以保存到文件中或通过网络传输给其他计算机。反序列化则是将字节序列恢复为对象的过程。通过反序列化操作,可以从存储的字节流中还原对象的状态。这使得可以在程序重启后,读取保存的字节流并重新构造对象,从而快速恢复对象的状态。在分布式系统中,可以将对象进行序列化,并在不同的计算机之间进行传输。接收方可以通过反序列化操作将字节序列转换为可操作的对象。某些远程通信框架使用序列化和反序列化来实现远程方法调用。
序列化、反序列化
qq_37432174的博客
11-25 3855
因为:Java对象的构造必须先有父对象,才有子对象,反序列化也不例外,所以反序列化时,为了构造父对象,只能调用父类的无参构造函数作为默认的父对象。)是一种将对象以一连串的字节描述的过程,将程序中的对象,放入硬盘(文件)中保存就是序列化,如果不存放在磁盘中,而是一直存放在内存中,会增大内存的消耗;一些敏感的字段,如用户名密码(用户登录时需要对密码进行传输),我们希望对其进行加密,这时,就可以采用本节介绍的方法在客户端对密码进行加密,服务器端进行解密,确保数据传输的安全性。
反序列化什么意思
weixin_42599558的博客
01-24 840
反序列化是指将序列化后的数据还原成原始数据类型的过程。序列化是指将原始数据类型转换成可存储或可传输的格式。反序列化则是将序列化后的数据还原成原始数据类型。这样可以将原始数据在不同环境之间传输,并在接收端还原成原始数据类型。 ...
序列化和反序列化简单理解
茂神的博客
08-24 353
一、序列化和反序列化的概念 把对象转换为字节序列的过程称为对象的序列化;把字节序列恢复为对象的过程称为对象的反序列化。 对象的序列化主要有两种用途: 1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中; 2) 在网络上传送对象的字节序列。 在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便长期保存。比如最
反序列化
最新发布
qq_63527808的博客
10-30 333
反序列化是指将序列化后的数据进行解码和还原,恢复为原始的数据结构或对象的过程。(PHP 中使用 unserialize() 函数对序列化后的字符串进行反序列化,将其还原为原始的数据)序列化是指将数据结构或对象转换为一串字节流的过程,使其可以存储、传输或缓存时进行持久化。(PHP 中使用 serialize() 函数可以将数据结构或对象进行序列化,得到一个表示序列化后数据的字符串)反序列化的数据本质上来说是没有危害的,用户可控数据进行反序列化是存在危害的,反序列化的危害, 关键还是在于可控或不可控。
什么是序列化与反序列化
chen_kai_fa的博客
02-16 1557
序列化:就是将对象转化为字符流的过程。 反序列化:就是将字节流转化为对象的过程。 被序列化的对象类型需要实现Serializable序列化接口,此接口是标志接口。 为保证序列化与反序列化的过程稳定,建议在类中添加序列化版本号。 可以transient关键字,指定成员变量不被序列化。 ...
反序列化(Unserialize)漏洞详解
qq_49422880的博客
09-28 1万+
序列化和反序列化漏洞分析   序列化(serialize) 就将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时或持久性的存储区 【将状态信息保存为字符串】。   反序列化(unserialize) 就是把序列化之后的字符串在转化为对象。 其实在序列化的过程中是没有任何的漏洞的,产生漏洞的主要的原因就是在反序列化的过程中,通过我们的恶意篡改会产生魔法函数绕过,字符逃逸,远程命令执行等漏洞,最早发现这些漏洞的大佬是真的牛。 一、简单的魔法函数 魔法函数 调用
序列化和反序列化漏洞
10-10
序列化和反序列化漏洞是指在将对象序列化为二进制数据或将二进制数据反序列化为对象的过程中存在安全漏洞。攻击者可以利用这些漏洞来执行恶意代码或绕过安全控制。 在Java中,使用ObjectInputStream和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值