初识Java反序列化

最新推荐文章于 2024-09-09 03:48:04 发布
最新推荐文章于 2024-09-09 03:48:04 发布
阅读量1.6k 收藏 2
点赞数 1
分类专栏: Java 程序员 编程 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71563599/article/details/125120904
版权
本文介绍了Java序列化和反序列化的基本概念、字节序列数据格式、用途及常见使用场景。特别讨论了反序列化命令执行漏洞的原理,强调了当对象的readObject方法重写并存在安全问题时,可能导致执行系统命令的安全风险。
摘要由CSDN通过智能技术生成

前言

研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。

大致内容如下:

  1. 序列化和反序列化示例

  2. 序列化数据组成解构

  3. 反序列化漏洞形成原理

序列化和反序列化

序列化: 将程序运行时所需要的Java对象转化为字节序列并存储在文件系统中,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化。

反序列化: 将存储在文件系统的字节序列转化成对象供程序使用,ObjectInputStream.readObject()方法可以将字节序列转化成对象。

可序列化的类必须继承 java.io.Serializable;序列化机制使对象得以脱离程序之外独立存在。

示列:

Employ.java

import java.io.Serializable;


 //该类必须实现java.io.Serializable
public class Employ implements Serializable { 
    public String name;
    public int age;
}

test.java

import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;

public class test {

    public static void main(String[] args) {
        //将e转化为字节序列存储于/tmp/1.ser
        Employ e = new Employ();
        e.name = "zhangyida";
        e.age = 15;
        try {
            FileOutputStream fops = new FileOutputStream("/tmp/1.ser");
            ObjectOutputStream obos = new ObjectOutputStream(fops);
            obos.writeObject(e);
            obos.close();
            System.out.prin
最低0.47元/天 解锁文章
Java可可
关注
专栏目录
22JAVA 初识序列化与反序列化
qq_67316362的博客
04-25 141
初识序列化与反序列化 1 概述 序列化是指将对象的状态信息转换为可以存储或传输形式的过程.在序列化期间,对象将其当前状态写入到临时或持久性存储区.以后可以通过从存储区中读取或者反序列化对象的状态,重新创建该对象. 序列化:利用ObjectOutputStream,把对象的信息,按照固定的格式转成一串字节值输出并持久保存到磁盘反序列化:利用ObjectInputStream,读取磁盘中之前序列化好的数据,重新恢复成对象 2 特点/应用场景 需要序列化的文件必须实现Serializable接口,用
JAVA反序列化jboss 进入后台(及送JAVA反序列化工具和中国cai dao)
12-10
JAVA反序列化教程,利用JAVA反序列化软件进行检测,寻找,已经涉及到部分CMD命令和寻找网页IP,以及远程登陆简单介绍
Java 反序列化
最新发布
sky123博客
09-09 1014
反序列化基础 Java 的序列化(Serialization)和反序列化(Deserialization)是将对象的状态转换为字节流并恢复的过程。这个过程使对象可以保存到文件、通过网络传输或保存到数据库中,并在稍后恢复成对象。 序列化(Serialization):将 Java 对象的状态转换为字节流的过程。这使得对象可以保存到文件、发送到其他 JVM 甚至通过网络传输。 反序列化(Deserialization):将字节流转换回 Java 对象的过程。这允许恢复先前序列化的对象状态。 序列化条件 要使
JAVA中的反序列化
qa3629723的博客
08-18 665
Java 反序列化是序列化的逆过程,它允许程序从字节流中恢复对象状态。这个过程在分布式计算和对象持久化中非常重要。然而,反序列化也带来了安全风险,需要开发者谨慎处理。
Java反序列化
m0_46390077的博客
11-22 988
​ PHP的反序列化java反序列化是两种不同的类型,序列化和反序列化本身没有漏洞点,只是为了实现数据的完整高效的传输。​ PHP反序列漏洞是由于类里面的魔术方法调用了某个函数,该危险函数又调用了别的函数,最终执行到了危险函数的位置转存中…(img-6467S4OE-1700661213322)]
CTF竞赛入门基础——初识PHP反序列化
# 1. CTF竞赛简介 ## 1.1 什么是CTF竞赛 CTF(Capture The Flag)竞赛是一种网络安全技术竞赛,旨在通过模拟真实的网络攻防场景,促进参赛者提升网络安全攻防能力和解决问题的能力。参赛者需要在竞赛规定的时间内...
Protocol Buffer序列化对比Java序列化.
huaqiangu1123的博客
12-12 2394
初识 Protocol Buff是谷歌推出的一种序列化协议. 而Java序列化协议也是一种协议. 两者的目的是, 将对象序列化成字节数组, 或者说是二进制数据, 那么他们之间有什么差异呢. proto对象 要使用PB, 我们需要定义一个proto对象, 其支持的数据类型如下: Protobuf定义了一套基本数据类型。几乎都可以映射到C++\Java语言的基础数据类型
1.初识Java.zip
05-31
初识JavaJava是一种广泛使用的面向对象的编程语言,由Sun Microsystems(后被Oracle公司收购)于1995年发布。它的设计目标是具备“简单性、面向对象、健壮性、安全性、可移植性、高效性、多线程和动态性”等...
Java反序列化工具.zip
05-31
java反序列化工具;weblogic反序列化工具;jboss反序列化工具。
Java反序列化学习
就爱喝酸奶的博客
07-22 3331
Java反序列化学习1.JAVA反射2.JAVA序列化与反序列化3.漏洞分析3.1 Apache commons-collections3.1.1 ConstantTransformer3.1.2 InvokerTransformer3.1.3 ChainedTransformer3.1.4 TransformedMap.decorate()3.1.5 LazyMap3.2 构造POP3.2.1 ...
java 反序列化_Java-序列化-反序列化
weixin_36110673的博客
02-24 251
ThanksJava中的序列化对象是存储在内存中,但如果我们想把对象持久化存到硬盘上该怎么做呢?在Java中,可以使用序列化:Serialization(序列化)是一种将对象以一连串的字节描述的过程;反序列化deserialization是一种将这些字节重建成一个对象的过程。简单例子Java中必须实现接口Serializable才能够被序列化,而Serializable接口没有方法,更像是个标记。...
Java中的反序列化详解
技术研究中心
07-23 215
反序列化是将对象的字节序列转换回对象的过程。在Java中,对象序列化是将对象转换为字节序列以便存储或传输,而反序列化则是将这些字节序列重新转换为对象。在反序列化过程中,Java虚拟机使用该ID来验证序列化对象的版本。希望读者通过本文能够深入理解Java反序列化的机制和使用方法。大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!本文详细介绍了Java中的反序列化过程及其基本原理,通过示例演示了如何使用。让我们通过一个简单的示例来演示Java中的反序列化过程。将字节流转换为对象。
java安全(五)java反序列化
weixin_45694388的博客
04-09 6363
序列化 在调用RMI时,发现接收发送数据都是反序列化数据. 例如JSON和XML等语言,在网络上传递信息,都会用到一些格式化数据,大多数处理方法中,JSON和XML支持的数据类型就是基本数据类型,整型、浮点型、字符串、布尔等,如果开发者希望在传输数据的时候直接传输一个对象,那么就不得不想办法扩展基础的JSON(XML)语法。比如,Jackson和Fastjson这类序列化库,在JSON(XML)的基础上进行改造,通过特定的语法来传递对象. RMI使用java语言内置的序列化方法,将一个对象转化成一串二进制
Java反序列化看这一篇就够了
saber的博客
03-12 1988
本文介绍了Java中的序列化和反序列化机制。Java序列化是指将Java对象转换为字节序列的过程,以便存储在文件中或在网络上传输;而Java反序列化是指将字节序列恢复为Java对象的过程。序列化和反序列化的过程中,需要使用 ObjectOutputStream 和 ObjectInputStream 类来实现。文章还提到了序列化的原因,如远程过程调用和传输数据时需要将数据序列化为二进制形式。
JAVA反序列化基础
qq_44029310的博客
08-05 1099
本文包括:java序列化和反序列化的基础知识和案例演示,案例包括转化为文件字符输出流并保存成文件的方式和通过ByteArrayOutputStream保存为字节数组的方式进行序列化和反序列化,使用Binary工具查看序列化后的文件和数据含义解释。......
理论 | 教你彻底学会Java序列化和反序列化
mySoul
09-03 231
这是小小本周的第四篇Java序列化是什么?Java序列化是指把Java对象转换为字节序列的过程,Java反序列化是指把字节序列恢复为Java对象的过程。反序列化:客户端重文件,或者网络中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值