反序列化漏洞

最新推荐文章于 2024-10-10 14:15:00 发布
最新推荐文章于 2024-10-10 14:15:00 发布
阅读量462 收藏 8
点赞数 15
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69391344/article/details/139743487
版权

序列化的目的

序列化的最终目的是为了对象可以跨平台存储和进行网络传输(也可以在分布式应用系统中传递数据)也可以是将对象以二进制字节序列的方式存储在硬盘上

序列化概述

序列化是将对象状态为可保持或可传输的格式的过程,也就是将变量数据转换为字符串。通俗的说就是若想将一个实体类的整个实例对象的数据进行传输或者保存,需要将其转换成io流才能传输或者保存,这就是序列化过程,这是又为了安全的反序列化恢复成实例对象,就需要将实体类实现序列化接口。值得注意的是,json字符串在传输过程中也是序列化了的,序列化将对象转化为二进制流,反序列化将流转换为对象,这两个过程结合起来,就可以轻松地存储和传输数据。

在序列化期间,对象将其当前状态写入到临时或者持久性存储区,以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。

JSON编码其实也能实现数据跨平台的传输和存储,但是JSON不能完全替代序列化,因为JSON不能直接处理对象数据,而序列化特别适合对对象数据的处理。

总结:

序列化:将数据结构或对象转换成二进制格式的过程。

反序列化:将序列化后生成的二进制转换成数据结构或对象的过程。

序列化使得复杂的数据结构可以被存储在文件中,或者通过网络传输。这样,数据就可以在不同的环境或者不同的时间点被重新使用或者访问。

反序列化后的数据结构取决于类的结构

面向对象的魔术方法

__construct:类的构造方法,创建对象时会调用
__destruct:类的析构方法,销毁对象时会调用
__get:访问一个不存在的属性或者访问一个private、protected属性时会调用
__set:为一个不存在的属性或者访问一个private、protected属性时会调用
__toString:对对象进行字符串操作时会调用
__call:在对象中调用一个不能访问的方法时调用
__issert():对不可访问的属性使用issert或者empty函数时调用此方法
__unset():对不可访问的属性使用unset函数时调用此方法

m0_69391344
关注
shiro反序列化漏洞
2403_82795493的博客
02-19 1047
Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。会存在一段base64加密的字段,解码后就是攻击者的回显内容。shiro721的加密key基本猜不到,系统随机生成,可以使用登陆后的rememberMe去爆破正确的key值,即利用有效的RememberMe Cookie作为。
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
phar反序列化漏洞
csjjjd的博客
01-27 1420
基础:Phar是一种PHP文件归档格式,它类似于ZIP或JAR文件格式,可以将多个PHP文件打包成一个单独的文件(即Phar文件)。打包后的Phar文件可以像普通的PHP文件一样执行,可以包含PHP代码、文本文件、图像等各种资源,也可以对Phar文件进行签名、压缩和加密,我们还可以在文件包含中使用phar伪协议,可读取.phar文件。phar文件格式:stub.phar 文件标识,格式为xxx; manifest 压缩文件的属性等信息,以序列化存储;
反序列化漏洞-02】PHP反序列化漏洞原理测试及魔术方法总结
m0_64378913的博客
07-22 1089
PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞形成的根本原因是程序没有对用户输入的反序列化字节流进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、GetShell等一系列不可控的后果。(在反序列化过程中,会触发代码执行。)反序列化漏洞并非是PHP所特有的,也存在与java、Python等语言中,原理基本相同。(1)理解PHP反序列化漏洞的触发原理;(2)了解PHP相关的魔术方法及调用情况。...
反序列化漏洞漏洞复现
来日可期的博客
09-05 4154
反序列化漏洞是指应用程序在对已经序列化的数据进行反序列化时,由于缺少必要的验证或过滤,导致恶意数据被成功地反序列化为对象并被执行。攻击者可以构造恶意数据来利用这个漏洞,攻击方式通常是通过网络等传输渠道向目标应用程序发送序列化数据,使得应用程序在反序列化时执行了攻击者所构造的恶意代码,进而导致应用程序受到攻击。
jackson反序列化漏洞
l_l_c_q的博客
08-10 1085
jackson反序列化漏洞及POC
Jackson 反序列化漏洞
qq_50296568的博客
08-07 1145
CVE-2017-7525 是 Jackson 数据绑定库(jackson-databind)中的一个严重漏洞,允许攻击者通过反序列化恶意构造的 JSON 数据来执行任意代码。攻击者构造特制的 JSON 数据,包含 @class 字段,指向一个易受攻击的类(如 com.zaxxer.hikari.HikariConfig,该类在初始化时会执行某些操作)。在这个示例中,@class 字段指定了 com.zaxxer.hikari.HikariConfig 类,而其属性则是 HikariCP 数据源的配置。
Fastjson反序列化漏洞
qq_50296568的博客
08-09 1197
使用恶意MySQL的url作为参数创建一个com.mysql.cj.jdbc.admin.MiniAdmin对象可以通过MySQL的JDBC驱动的com.mysql.cj.jdbc.admin.MiniAdmin类创建一个指定url的JDBC连接。再通过LOAD DATA LOCAL INFILE语句读取任意文件。只要用户期望类继承自 Throwable 类,Fastjson便会将该类信任,从而造成只要是继承Throwable的任意类都可以被反序列化。生成恶意mysql文件后,
网络安全筑基篇——反序列化漏洞
weixin_55762309的博客
06-27 1447
反序列化漏洞原理详解
PHP反序列化漏洞原理
YhMjQx的博客
08-28 824
本篇文章主要讲解PHP反序列化漏洞原理
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
小白看得懂的MySQL JDBC 反序列化漏洞分析 - 先知社区1
08-03
【MySQL JDBC 反序列化漏洞分析】 MySQL JDBC 反序列化漏洞主要涉及到Java数据库连接(JDBC)驱动程序中的安全问题。JDBC是Java中用于与数据库交互的标准接口,允许开发者使用Java语言执行SQL语句。在特定版本的...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
入门网络安全工程师要学习哪些内容
最新发布
白帽子佳奇的博客
10-10 1328
大家都知道网络安全行业很火,这个行业因为国家政策趋势正在大力发展,大有可为!但很多人对还是不了解,不知道需要学什么?知了堂小编总结出以下要点。是一个概称,学习的东西很多,具体学什么看自己以后的职业定位。如果你以后想成为安全产品工程师,学的内容侧重点就和不一样,如果你想成为安全开发工程师,学的侧重点就和安全不一样。学的东西很泛,但选定方向就简单了。大致的学习流程总结就是:网络基础、操作系统、中间件、数据库。其中电脑基础:像系统Windows基础和Linux基础、HTML基础、代码JS基础等。
《网络安全:数字时代的坚实护盾》
一名资深Java工程师的技术分享
10-10 460
在当今高度数字化的时代,网络安全的重要性如同空气对于生命一般不可或缺。它不仅关乎个人的隐私与财产安全,更对企业的生存发展和国家的稳定繁荣起着至关重要的作用。
网络安全(黑客)自学
白帽子凯哥聊黑客
10-10 935
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
RMI反序列化漏洞 修复
06-08
RMI反序列化漏洞是一种常见的Java Web应用程序漏洞,攻击者可以利用该漏洞在目标服务器上执行任意代码。该漏洞利用的核心是Java的反序列化机制,攻击者可以通过构造特定的序列化对象来触发漏洞。 要修复RMI反序列化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值