Java中的默认序列化存在安全问题如何解决?

最新推荐文章于 2024-05-21 09:42:29 发布
最新推荐文章于 2024-05-21 09:42:29 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: 框架进阶 文章标签: 序列化 反序列化 序列化安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qianzhitu/article/details/103002673
版权

Java中的默认序列化是存在一些安全问题的,例如对象序列化以后的字节通过网络传输,有可能在网络中被截取。那如何保证数据安全呢?通常可以在对象序列化时对对象内容进行加密,对象反序列化时对内容进行解密。

具体实现过程分析:

  1. 在序列化对象中添加writeObject(ObjectOutpuStream out)方法对内容进行加密再执行序列化。
  2. 在序列化对象中添加readObject(ObjectInputStream in)方法对内容先进行反序列化然后在执行解密操作

代码实现:

class SysLog implements Serializable{
	private static final long serialVersionUID = -5296788134693797316L;
	/**日志id*/
	private Integer id;
	/**操作用户*/
	private String username;
	//private Date createdTime;
	
	/**此方法会在调用对象流的的writeObject方法时执行*/
	private void writeObject(ObjectOutputStream out) throws IOException{
		//1.获取一个加密对象(java.util)
		Base64.Encoder encoder=Base64.getEncoder();
		//2.对内容进行加密
		byte[] array=encoder.encode(username.getBytes());
		//3.将加密结果重新赋值给username
		username=new String(array);
		//4.执行默认序列化
		out.defaultWriteObject();//序列化
	}//方法的声明是一种规范
	
	private void readObject(ObjectInputStream in)
		throws IOException, ClassNotFoundException{
		//1.执行默认反序列化
		in.defaultReadObject();
		//2.获取解密对象
		Base64.Decoder decoder=Base64.getDecoder();
		//3.执行解密操作
		byte[] array=decoder.decode(username);
		username=new String(array);
	}
	
	public void setId(Integer id) {
		this.id = id;
	}
	public void setUsername(String username) {
		this.username = username;
	}
	@Override
	public String toString() {
		return "SysLog [id=" + id + ", username=" + username + "]";
	}
}

说明: writeObject/readObject方法:

  1. 访问修饰符,返回值类型,方法名,参数应与如上代码相同(java规范中定义)
  2. 两个方法会在序列化和反序列化时系统底层通过反射调用.
solorCat
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java序列化安全机制
JianLeiXing的博客
02-12 577
[align=center][b]Java序列化安全机制[/b][/align] 前言 上一篇最后我们提到采用java默认序列化机制存在安全漏洞的。第一种漏洞就是在网络传播二进制流时被黑客截获,获取其的一些敏感信息,比如账号密码以及上文提到的苹果的价格;另一种就是黑客截获到了这些信息后加以修改,再通过网络发送出去,比如恶意修改了苹果价格信息,那么销售商将会面临破产的危机。基于此此,ja...
java序列化反序列化全讲解
追光者的博客
06-03 1709
java序列化反序列化全讲解
深入探讨Java序列化安全问题解决方案
最新发布
weixin_53840353的博客
05-21 392
Java序列化Java平台一个非常实用的功能,它允许对象的状态被保存到字节流,以便于存储或网络传输。然而,这一功能也伴随着一系列的安全隐患,特别是在处理敏感数据和外部输入时。本文将详细探讨Java序列化可能引发的安全问题,并提供一系列的解决方案和最佳实践。
什么是序列化Java 如何实现序列化
程序员徐师兄的博客
07-15 1445
Java 序列化机制是一种将对象转换为字节流的过程,可以使得对象的状态可以被保存和恢复。Java 提供了一套序列化机制,可以使得对象的序列化反序列化变得简单而方便。Java 序列化机制使用了默认序列化和自定义序列化两种方式,可以根据实际情况选择不同的方式来实现序列化。在实际应用,可能需要考虑一些特殊情况,例如序列化一个对象的子类,序列化一个对象的字段时需要特殊处理等,可以使用自定义序列化来实现。
Java序列化反序列化
y516369的博客
07-28 304
Java序列化反序列化
Java 序列化安全漏洞梳理
HongYu012的博客
03-30 2721
背景 现阶段公司会进行季度的安全巡检,扫描出来的 Java 相关漏洞,无论是远程代码执行、还是 JNDI 注入,基本都和 Java序列化机制有关。本文简单梳理了一下序列化机制相关知识,解释为什么这么多漏洞都和 Java序列化有关,以及后续怎么避免这些安全漏洞,减少版本升级工作量。同时能基于本文的知识,在看到序列化漏洞后,简单评估该漏洞对自身应用的影响 为什么需要序列化 序列化主要是提供了一种机制,方便数据在网络之间进行传输,或者独立于程序存储在本地磁盘。 序列化的使用场景很
Java对象序列化反序列化详解
09-03
1. **默认序列化**:如果一个类只实现了`Serializable`接口,那么Java会自动处理序列化,将类所有非`transient`和非`static`的字段转换为字节流。 2. **自定义序列化**:如果类实现了`Serializable`接口,并且...
Java反序列化回显解决方案.docx
12-19
Java反序列化回显解决方案是指在Java,使用反序列化来执行命令,导致RCE(Remote Code Execution)的解决方案。该解决方案主要涉及到Java反序列化机制和ClassLoader的使用。 首先,Java反序列化机制允许攻击...
java对象序列化反序列化默认格式和json格式使用示例
10-26
Java编程,对象序列化是将一个对象的状态转换为可...在实际应用,我们还需要考虑异常处理、性能优化以及安全问题,比如使用`transient`关键字忽略某些字段,或者使用`@JsonAutoDetect`注解控制序列化的可见性。
解决Spring Boot和Feign使用Java 8时间日期API(LocalDate等)的序列化问题
08-27
通过以上步骤,我们可以解决使用Java 8时间日期API(LocalDate等)在Spring Boot和Feign序列化问题,从而确保数据的正确性和安全性。 知识点: * Java 8时间日期API(LocalDate、LocalTime、LocalDateTime) *...
Java Web反序列化网络安全漏洞分析.pdf
03-31
Java Web反序列化漏洞是指在Java Web应用程序,由于对序列化对象的不当处理,攻击者可以构造恶意的序列化数据,导致程序在反序列化过程执行非预期的代码,从而引发安全问题。这种漏洞的存在使得攻击者可以绕过...
java 默认序列化_Java默认序列化机制你懂吗
weixin_34007013的博客
02-25 705
前言一直好奇Java本身的序列化机制是怎么工作的,抽空看了下Java object serialization specification(https://docs.oracle.com/javase/8/docs/platform/serialization/spec/serialTOC.html) 和JDK 序列化源码,终于知道了它的工作原理:), 很简单。系统架构一图胜千言。Java默认的序...
你确定懂了Java序列化机制
m0_73311735的博客
10-06 672
java序列化可能大家像我一样都停留在实现接口上,对于它里面的一些核心机制没有深入了解过。直到最近在项目踩了一个坑,就是序列化对象添加一个字段以后,使用方系统报了反序列化失败,原因是我们双方的序列化对象没有加上序列化对象的是干嘛用的?如何修改默认序列化机制?如何使用序列化的方式克隆对象?只要类有这两个签名的方法,那么就不会调用默认序列化,取而代之调用这些方法。本例我们举个jdk的例子,ArrayList就实现了这两个方法,重写了序列化机制
序列化注意事项
喜码拉雅
08-17 324
参考《深入理解Java web 技术内幕》 1.当父类实现Serializable接口时,所有子类都可以被序列化 父类代码: import java.io.Serializable; public class SerialFather implements Serializable { private static final long serialVersionUID = -...
Web安全--反序列化漏洞(java篇)
bobo_milk的博客
11-29 3110
java反序列化参考
Java序列化踩坑指南
机智的爆爆哥
03-22 1096
序列化一些需要注意的坑,给大家介绍下。
java序列化安全问题
qq_29827369的博客
03-27 1497
如果一个函数或者对象,不管它位于多么遥远的地方,都可以在本地直接被调用,那该有多好 呀!这是一个非常朴素、美好的想法。基于这个设想,诞生了很多伟大的技术和协议,比如远程 过程调用(RPC)、远程方法调用(RMI)、分布式对象(Distributed Object)、组件对象模 型(COM)、公共对象请求代理(CORBA)和简单对象访问协议(SOAP)等……这个列表还可 以很长很长。...
java序列化导致的问题
黑木爷的专栏
06-20 1009
最近在做一个需求的迭代过程,遇到了一个tair(公司的一款缓存间件,类似Redis)反序列化失败的问题,也就是把tair里缓存的值转换成对象的时候报错了。看了一下代码里tair的使用,put的时候value是对象本身,get的时候是把tair获取到的对象进行类型强制转换,类似这种: Person person = new Person(); person.setWorkNo("123"); person.setName("张三"); tairManager.put
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值