初识Java反序列化

最新推荐文章于 2024-04-30 14:07:22 发布
最新推荐文章于 2024-04-30 14:07:22 发布
阅读量1.5k 收藏 2
点赞数 1
分类专栏: Java 程序员 编程 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71563599/article/details/125120904
版权

前言

研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。

大致内容如下:

  1. 序列化和反序列化示例

  2. 序列化数据组成解构

  3. 反序列化漏洞形成原理

序列化和反序列化

序列化: 将程序运行时所需要的Java对象转化为字节序列并存储在文件系统中,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化。

反序列化: 将存储在文件系统的字节序列转化成对象供程序使用,ObjectInputStream.readObject()方法可以将字节序列转化成对象。

可序列化的类必须继承 java.io.Serializable;序列化机制使对象得以脱离程序之外独立存在。

示列:

Employ.java

import java.io.Serializable;


 //该类必须实现java.io.Serializable
public class Employ implements Serializable { 
    public String name;
    public int age;
}

test.java

import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;

public class test {

    public static void main(String[] args) {
        //将e转化为字节序列存储于/tmp/1.ser
        Employ e = new Employ();
        e.name = "zhangyida";
        e.age = 15;
        try {
            FileOutputStream fops = new FileOutputStream("/tmp/1.ser");
            ObjectOutputStream obos = new ObjectOutputStream(fops);
            obos.writeObject(e);
            obos.close();
            System.out.print
最低0.47元/天 解锁文章
Java可可
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java安全 反序列化(二)
sechelper的博客
12-07 594
java反射,CC6链源码分析,LazyMap利用连,ysoserial工具
Java思维导图xmind文件+导出图片
12-20
理解通信协议传输过程中的序列化和反序列化机制 基于框架的RPC通信技术 WebService/ApacheCXF RMI/Spring RMI Hession 传统RPC技术在大型分布式架构下面临的问题 分布式架构下的RPC解决方案 Zookeeper ...
Java序列化和反序列化(详解)
qq_62414755的博客
07-20 3万+
java序列化及可序列化讲解,代码清晰易懂。
java的序列化和反序列化详解及示例
热门推荐
alanchanchn的专栏
06-14 3万+
对于序列化接口Serializable接口是一个标识接口,它的主要作用就是标识这个对象是可序列化的,jre对象在传输对象的时候会进行相关的封装。类 ObjectInputStream 和 ObjectOutputStream 是高层次的数据流,它们包含序列化和反序列化对象的方法。上面的方法序列化一个对象,并将它发送到输出流。该方法从流中取出下一个对象,并将对象反序列化。它的返回值为Object,因此,你需要将它转换成合适的数据类型。
java序列化和反序列化基础学习
最新发布
dayouzi的博客
04-30 862
(1)Java序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程;(2)**序列化:**对象序列化的最主要的用处就是在传递和保存对象的时候,保证对象的完整性和可传递性。序列化是把对象转换成有序字节流,以便在网络上传输或者保存在本地文件中。序列化后的字节流保存了Java对象的状态以及相关的描述信息。序列化机制的核心作用就是对象状态的保存与重建。
java序列化与反序列化详解
pyth0zn的博客
05-01 2815
serialVersionUID - 0x0e 76 fa 9f 59 73 be c6 是16进制转换为二进制,就是生成的值transient修饰的变量不能被序列化;transient只作用于实现 Serializable 接口;transient只能用来修饰普通成员变量字段;不管有没有 transient 修饰,静态变量都不能被序列化;
Java反序列化漏洞
MRS_jianai的博客
02-19 684
Java反序列化源码复现
Spark学习笔记(一)Spark初识【特性、组成、应用】
08-25
- SparkCore:这是Spark的基础,负责任务调度、数据存储(RDD)、RPC、序列化和压缩。RDD是弹性分布式数据集,它是Spark处理数据的核心抽象。 - SparkSQL:提供与SQL兼容的接口,用于处理结构化数据,支持多种数据...
Java教程实验[整理].pdf
10-19
这里,我们探讨三个主要实验:初识Java、简单Java Applet程序以及联合编译,这些都是Java入门阶段的基础知识。 1. **初识Java实验** 实验1:一个简单的应用程序 这个实验旨在让你熟悉Java的基本语法,特别是`main...
javajdk源码解析-Code-Adventure:Java基础、JDK源码解析、程序人生
05-20
Java如何将一个Java对象序列化到文件里 静态代理与动态代理 | 初始进洞(上) 静态代理与动态代理 | 初识进洞(中) JDK源码 JDK探秘 | 详解Integer的享元缓存机制 JDK探险 | 详解Integer的缓存机制 JDK探秘 | ArrayList...
构造java探测class反序列化gadget1
08-03
背景你是否遇到过这样的情况,盒环境下有个序列化。你将ysoserial所有gadget的测试了遍,均由于没有报错信息,你根本法确定是下那个原因导致。3. jar
java开发小工具
08-03
NULL 博文链接:https://hyf20120411.iteye.com/blog/1983007
java序列化与反序列化详解_java序列化和反序列化,可能是全网最细的网络安全-资源加载机制剖析
m0_61369817的博客
04-05 848
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!
java 小工具 (一)
959
05-31 1085
1.Collections 1.1 排序 1.2 获取最大或最小值 1.3 转换线程安全集合 1.4 返回空集合 1.5 二分查找 1.6 转换成不可修改集合 2.CollectionUtils 2.1 集合判空 2.2 对两个集合进行操作 3.Lists 3.1 创建空集合 3.2 快速初始化集合 3.3 笛卡尔积 3.4 分页 3.5 流处理 3.6 颠倒顺序
java序列化和反序列化详解
2401_83707780的博客
04-11 1285
如果默认的序列化机制不符合需求,可以通过实现和方法来自定义序列化和反序列化的行为。Java序列化是一个复杂但强大的机制,允许开发者轻松地持久化和传输对象。虽然它对于简单的用途来说可能显得有些重,但它提供了一种标准方式来处理对象的深复制,以及对象状态的保存和恢复。正确使用Java序列化需要对其工作原理有深入的理解,尤其是在涉及版本控制和自定义序列化行为时。
反序列化动态调试从0.5到1
weixin_42508548的博客
03-16 196
接上文前面如果有跟着做的人应该已经能够动态调试了吧,查看每一步数据有什么不同之处,在这里,我想先把上一步过程中的一些复杂的地方简单化,并且分开讲解其中的一些点。
通用gadget详解
weixin_44932880的博客
12-26 7294
gadget 利用gadget是做pwn题时控制程序流程一种重要且常用的方法。 rop是什么? 参考链接 https://ctf-wiki.github.io/ctf-wiki/pwn/linux/stackoverflow/basic-rop-zh/ 我今天主要写我对通用gadget的原理的理解 通用 gadget 通用gadget之所以叫通用,说明这是可以广泛使用的。 本人理解: 程序编译...
java可视化执行小工具
dzy_001的博客
11-02 6405
实现一个简单的加法器,上代码 监听类 import java.awt.*; import java.awt.event.ActionEvent; import java.awt.event.ActionListener; import java.awt.event.WindowAdapter; import java.awt.event.WindowEvent; class Myclick ...
异或差分序列_初识差分数列
05-31
好的,您的问题是关于异或差分序列和初识差分数列的。我会尽力回答。 首先,差分数列是由原数列中相邻两项的差值组成的新数列。例如,对于数列 {1, 3, 6, 10, 15},其差分数列为 {2, 3, 4, 5},其中差分数列的第一项为原数列的第二项减去第一项,第二项为第三项减去第二项,以此类推。 异或差分序列则是指将差分数列中的相邻两项进行异或运算得到的新数列。例如,对于差分数列 {2, 3, 4, 5},其异或差分序列为 {1, 7, 1},其中异或差分序列的第一项为差分数列的第二项和第一项进行异或运算,第二项为第三项和第二项进行异或运算,以此类推。 初识差分数列可以帮助我们解决一些数论和组合数学问题,如求一个数列中连续子序列的和、求一个数列中不同数的个数等等。而异或差分序列则可以帮助我们解决一些位运算问题,如求一个数列中连续子序列的异或和、求一个数列中出现奇数次的数的异或和等等。 希望这些解释能够帮助您更好地理解异或差分序列和初识差分数列。如果您还有其他问题,可以继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值