反序列化详解

最新推荐文章于 2024-09-30 20:09:33 发布
最新推荐文章于 2024-09-30 20:09:33 发布
阅读量347 收藏 3
点赞数 10
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65409532/article/details/141960886
版权

什么是序列化和反序列化?

        序列化:将这些在程序内存中的对象转换成一种具有代表性的数据字节流,由对象转换得到字节流的过程,就是序列化。

        反序列化:而对于获取序列化数据的一方,需要从这些字节流里还原得到对应的对象状态信息,由字节流转换得到对象的过程,就是反序列化。

反序列化漏洞原理

        反序列化漏洞就是指当目标程序对攻击者可控的数据进行反序列化处理时产生的安全问题。

Apache Shiro 1.2.4反序列化漏洞

Apache Shiro描述

        Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

漏洞影响

Apache Shiro <=1.2.4

Shiro反序列化漏洞原理

        AES加密的密钥Key被硬编码在代码里,Shiro是开源软件,意味着每个人通过源代码都能拿到AES加密的密钥。因此,攻击者构造一个恶意的对象,并且对其序列化,AES加密,base64编码后,作为cookie的rememberMe字段发送。Shiro将rememberMe进行解密并且反序列化,最终造成反序列化漏洞

Shiro服务器识别身份加解密处理的流程

(1)加密

1.用户使用账号密码进行登录,并勾选"Remember Me"。

2、Shiro验证用户登录信息,通过后,查看用户是否勾选了”Remember Me“。

3、若勾选,则将用户身份序列化,并将序列化后的内容进行AES加密,再使用base64编码。

4、最后将处理好的内容放于cookie中的rememberMe字段。

(2)解密

1、当服务端收到来自未经身份验证的用户的请求时,会在客户端发送请求中的cookie中获取rememberMe字段内容。

2、将获取到的rememberMe字段进行base64解码,再使用AES解密。

3、最后将解密的内容进行反序列化,获取到用户身份。

漏洞特征

        返回包中存在 rememberMe=deleteMe 字段

Fastjson反序列化漏洞原理

        使用AutoType功能进行序列号的JSON字符会带有一个@type来标记其字符的原始类型,在反序列化的时候会读取这个@type,来试图把JSON内容反序列化到对象,并且会调用这个库的setter或者getter方法,然而,@type的类有可能被恶意构造,只需要合理构造一个JSON,使用@type指定一个想要的攻击类库就可以实现攻击。

Weblogic反序列化漏洞原理

        当WebLogic服务器接收到一个包含恶意序列化对象的请求时,服务器会尝试将该对象反序列化为一个实例。由于缺乏有效的输入验证和安全控制,攻击者可以构造恶意序列化对象,触发服务器执行恶意代码。

星|焰
关注
工厂模式的介绍及实现
户伟伟的博客
09-25 151
工厂模式(Factory Pattern)是一种创建型设计模式,提供了一种创建对象的接口,而无需显式指定对象的具体类。在这种模式中,我们通过定义一个工厂类,专门负责生产各种类型的对象,这样我们可以避免直接在代码中实例化具体类,使代码更具扩展性、灵活性和维护性。解耦:客户端代码与具体的类解耦,避免了对象创建逻辑的重复。简化对象创建:通过工厂统一管理对象的创建逻辑,使代码更清晰易懂。扩展性强:新增类时,只需在工厂中增加创建逻辑,而不必修改现有的业务代码。
Java中对象序列化与反序列化详解
09-03
这个过程被称为序列化,而将字节序列恢复为原来的对象则称为反序列化。本文将深入探讨Java中的对象序列化与反序列化的概念、原理、实现方法以及相关的注意事项。 **一、对象序列化的概念和作用** 对象序列化是将一...
Java对象的序列化与反序列化详解
08-29
Java对象的序列化与反序列化详解 Java对象的序列化与反序列化Java编程语言中两个非常重要的概念,它们在Java编程中扮演着非常重要的角色。序列化是指将对象转换为字节序列的过程,而反序列化是指将字节序列恢复为...
php中序列化与反序列化详解
01-20
把复杂的数据类型压缩到一个字符串中 serialize() 把变量和它们的值编码成文本形式 unserialize() 恢复原先变量 eg: $stooges = array('Moe','Larry','Curly'); $new = serialize($stooges); print_r($new);...
.Net中的序列化和反序列化详解
01-03
序列化和反序列化相信大家都经常听到,也都会用, 然而有些人可能不知道:.net为什么要有这个东西以及.net Frameword如何为我们实现这样的机制, 在这里我也是简单谈谈我对序列化和反序列化的一些理解。 一、什么...
基于Hive和Hadoop的哔哩哔哩网站分析系统
图南的博客
09-27 517
本项目是一个基于大数据技术的哔哩哔哩平台分析系统,旨在为用户提供全面的哔哩哔哩视频数据和深入的用户行为分析。系统采用 Hadoop 平台进行大规模数据存储和处理,利用 MapReduce 进行数据分析和处理,通过 Sqoop 实现数据的导入导出,以 Spark 为核心进行高效的数据处理。整个系统结合了大数据处理技术,为用户提供精准的内容推荐和深入的用户兴趣分析,帮助平台更好地了解视频趋势和用户需求。
Spring Cloud全解析:服务调用之OpenFeign集成OkHttp
Lxn2zh的博客
09-30 376
HTTP连接需要进行TCP三次握手,是一个比较耗时的操作,一般我们不直接使用HttpURLConnection,而是使用HttpClient/okHttp等支持连接池的客户端工具,以Feign集成OkHttp为例。OpenFeign本质是HTTP来进行服务调用的,也就是需要集成一个Http客户端。默认是HttpURLConnection方式,也就是jdk中提供的最原始的那个。要开启OkHttp ,还需要在YML 中添加开启配置项,默认是关闭的。使用的是Client接口来进行请求的。
Java开发指南」如何用MyEclipse为iPhone搭建Spring应用程序?
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
09-30 520
本教程将介绍如何用MyEclipse为iPhone搭建Spring应用程序,欢迎下载最新版IDE体验!
JPA+Thymeleaf增删改查
y050505的博客
09-25 499
在使用JPA(Java Persistence API)和Thymeleaf作为模板引擎进行Web开发时,实现增删改查(CRUD)操作是一个常见的需求。下面,我将简要介绍如何使用Spring Boot框架结合JPA和Thymeleaf来实现这一功能。
【开源免费】基于SpringBoot+Vue.JS校园资料分享平台(JAVA毕业设计)
customer08的博客
09-30 886
校园资料分享平台是一个B/S模式系统,采用Spring Boot框架作为开发技术,MYSQL数据库设计开发,充分保证系统的稳定性。系统具有界面清晰、操作简单,功能齐全的特点,使得校园资料分享平台管理工作系统化、规范化。
进程管理工具:非daemon进程管理工具supervisor
happy_king_zi的博客
09-29 1004
supervisor是一个 Client/Server模式的系统,允许用户在类unix操作系统上监视和控制多个进程,或者可以说是多个程序。supervisor与launchd,daemontools,runit等程序有着相同的功能,与其中某些程序不同的是,它并不作为“id 为 1的进程”而替代init。相反,它用于控制应用程序,像启动其它程序一样,通俗理解就是,把Supervisor服务管理的进程程序,它们作为supervisor的子进程来运行,而supervisor是父进程。
【RocketMQ】RocketMQ应用难点
最新发布
记录一名在读研究生的学习笔记、感悟、开发产物
09-30 597
本文探讨了RocketMQ中消息重复消费的问题及其解决方案,尤其是在CLUSTERING模式下的扩容影响。文章分析了重复消费的原因,如广播模式、负载均衡模式下的多consumerGroup消费、消费者组内的动态变化及网络延迟等,并提出了利用唯一标识进行去重的方法。此外,还讨论了如何选择合适的存储机制以高效处理大量消息标识,如HashMap、MySQL、Redis以及推荐的布隆过滤器等方案。对于防止消息堆积与确保消息不丢失,也给出了相应的策略和技术措施。
Java - LeetCode面试经典150题(二)
心如冰清,天塌不惊
09-28 790
否则,返回 false。给定一个整数数组 nums 和一个整数目标值 target,请你在该数组中找出 和为目标值 target 的那两个整数,并返回它们的数组下标。遍历字符串数组,将其中的字符串,进行排序,这样就形成一个唯一的字符串了,之后将原字符串追加到这个排序完的字符串映射的String列表中。这里的 遵循 指完全匹配,例如, pattern 里的每个字母和字符串 s 中的每个非空单词之间存在着双向连接的对应规律。将magazine中的每个字符的个数记录下来,用map映射成。
C语言中的日志机制:打造全面强大的日志系统
极客代码
09-30 331
构建一个全面强大的日志机制对于软件开发至关重要。通过上述示例,你应该已经了解了如何在C语言中实现日志记录的不同方面。这种能力对于调试程序、监控应用程序状态和维护系统的稳定性非常有帮助。在软件开发中,良好的日志记录机制对于调试、监控程序状态和维护系统的稳定性至关重要。本文将介绍如何在C语言中构建一个全面强大的日志系统,并提供一些示例代码。实现日志文件的自动旋转,以便管理日志文件的大小。定义日志级别的宏,便于管理和调整日志输出。使用定义好的日志宏来记录日志。实现日志配置的读取和设置。1. 日志的基本概念。
第十三届蓝桥杯真题Java 斐波那契与7(持续更新)
音符犹如代码的博客
09-29 288
这是一道结果填空的题, 你只需要算出结果后提交即可。本题的结果为一 个整数, 在提交答案时只填写这个整数, 填写多余的内容将无法得分。斐波那契数列的递推公式为: Fn=Fn−1+Fn−2Fn​=Fn−1​+Fn−2​, 其中 F1=F2=1F1​=F2​=1。请问, 斐波那契数列的第 1 至 202202011200 项(含)中, 有多少项的个位 是 7。
【hot100-java】【合并两个有序链表】
m0_73629042的博客
09-30 262
记忆中,两个指针合并即可。
一分钟掌握 Java11 新特性
java那些事儿
09-24 643
Java 11 的新特性使得语言更加现代化,增强了代码的可读性和可维护性,同时改善了性能和开发体验。无论是在日常编程中,还是在处理复杂的应用程序时,这些新特性都能够为开发者提供更大的便利。
Linux上Java项目环境安装
2301_76556912的博客
09-25 365
【代码】Linux上Java项目环境安装。
net.sf.json.JSONException: There is a cycle in the hierarchy!
xiejunna的博客
09-25 246
net.sf.json.JSONException: There is a cycle in the hierarchy!
Java对象序列化与反序列化详解
"Java对象的序列化与反序列化技术详解" Java对象的序列化与反序列化Java编程中的一项重要技术,它允许我们将Java对象转换为字节流,以便于存储或在网络中传输。这章内容主要涵盖以下几个方面: 1. **对象序列化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值