[Java安全入门]二.序列化与反序列化

最新推荐文章于 2024-04-15 00:06:38 发布
最新推荐文章于 2024-04-15 00:06:38 发布
阅读量1.3k 收藏 20
点赞数 24
分类专栏: JAVA安全 文章标签: java 开发语言 网络空间安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34942239/article/details/136516277
版权

一.概念

Serialization(序列化)是一种将对象以一连串的字节描述的过程;反序列化deserialization是一种将这些字节重建成一个对象的过程。将程序中的对象,放入文件中保存就是序列化,将文件中的字节码重新转成对象就是反序列化

二.要求

只有实现了Serializable或Externalizable接口的类的对象才能被序列化,并且序列化对象的所有属性都需是可序列化的。

三.实现

serializable接口

1.1方法

序列化:创建一个ObjectOutputStream输出流,调用 ObjectOutputStream 对象的 writeObject() 输出可序列化对象

   反序列化:创建一个ObjectInputStream输出流,调用 ObjectInputStream 对象的 readObject()得到反序列化的对象

1.2代码

import java.io.*;
import java.lang.reflect.Method;

class User implements Serializable{
    private String name;
    private int age;
    @Override
    public String toString(){
        return "User{" + "name=" +name + ", age="+age+"}";
    }
    public void setName(String name) {
        this.name = name;
    }
    public void setAge(int age) {
        this.age = age;
    }
}
public class Main {
    public static void main(String[] args) throws Exception {
        ObjectOutputStream out=new ObjectOutputStream(new FileOutputStream("E:\\tao.txt"));
        //创建一个ObjectOutputStream流,将序列化对象输出到tao.txt
        User user=new User();
        user.setName("tao");
        user.setAge(20);
        //实例化User
        out.writeObject(user);
        ObjectInputStream in=new ObjectInputStream(new FileInputStream("E:\\tao.txt"));
        // 创建一个 ObjectOutputStream 输出流
        User tao=(User)in.readObject();
        //将readObject反序列化的结果转化成User类,实例成tao
        System.out.println(tao);
    }
}

User{name=tao, age=20}

1.3注意

①如果实现 Serializable 接口的类有父类,则父类也必须可以序列化,若父类没有实现序列化接口,则父类必须有无参构造函数,否则会抛异常 java.io.InvalidClassException。因为在父类没有实现 Serializable 接口时,虚拟机是不会序列化父对象的,而一个 Java 对象的构造必须先有父对象,才有子对象,反序列化也不例外。所以反序列化时,为了构造父对象,只能调用父类的无参构造函数作为默认的父对象。因此当我们取父对象的变量值时,它的值是调用父类无参构造函数后的值。如果没有在父类无参构造函数中对父类变量进行初始化的话,父类变量值都是默认声明的值,如 int 型的默认是 0,string 型的默认是 null。

②序列化不保存静态变量,因为序列化保存的是对象的状态而不是类的状态,静态变量是类的状态

③ 使用transient 关键字可以选择不需要序列化的字段

如:

private transient String name;
private transient int age;

进行序列化的时候,name和age都不会被保存

Externalizable接口

2.1注意

①Externalizable接口继承Serializable 接口

②writeExternal()和readExternal()对应writeObject()和readObject()两个方法

③Externalizable序列化没有属性限制,静态变量以及transient 关键字修饰的属性都能被序列化

④必须提供public的无参构造方法,因为在反序列化实现 Externalizabale 接口的类的时需要通过反射创建对象。如果没有无参数的构造方法,在运行时会抛出异常:java.io.InvalidClassException

2.2代码

import java.io.*;
import java.lang.reflect.Method;

class User implements Externalizable{
    private String name;
    private int age;

    public User()
    {
    }//加上public无参构造器
    @Override
    public String toString(){
        return "User{" + "name=" +name + ", age="+age+"}";
    }
    public void setName(String name) {
        this.name = name;
    }
    public void setAge(int age) {
        this.age = age;
    }
    @Override//重写writeExternal()方法
    public void writeExternal(ObjectOutput out) throws IOException{
        out.writeObject(name);
    }
    @Override//重写wreadExternal()方法
    public void readExternal(ObjectInput in) throws IOException,ClassNotFoundException{
        name=(String)in.readObject();
    }

}
public class Main {
    public static void main(String[] args) throws Exception {
        ObjectOutputStream out=new ObjectOutputStream(new FileOutputStream("E:\\tao.txt"));
        //创建一个ObjectOutputStream流,将序列化对象输出到tao.txt
        User user=new User();
        user.setName("tao");
        user.setAge(20);
        //实例化User
        out.writeObject(user);
        ObjectInputStream in=new ObjectInputStream(new FileInputStream("E:\\tao.txt"));
        // 创建一个 ObjectOutputStream 输出流
        User tao=(User)in.readObject();
        //将readObject反序列化的结果转化成User类,实例成tao
        System.out.println(tao);
    }
}

result

User{name=tao, age=0}

age变成了0

因为使用Externalizable接口,需要重写writeExternal() 与 readExternal() 方法,我只写了name的实现,没有写age,int型默认值为0

四.安全

java反序列化会自动触发readObject()方法,类似于php反序列化的__destruct()函数

java支持自定义writeObject()和readObject()方法

如果某个类中自定义了readObject()方法,当对其的一个实例化对象进行反序列化,就会调用readObject()方法

import java.io.*;
import java.lang.reflect.Method;

class User implements Serializable{
    private String name;
    private int age;
    @Override
    public String toString(){
        return "User{" + "name=" +name + ", age="+age+"}";
    }
    public void setName(String name) {
        this.name = name;
    }
    public void setAge(int age) {
        this.age = age;
    }
    private void readObject(ObjectInputStream in){
        System.out.println("这是新的readObject!");
    }
}
public class Main {
    public static void main(String[] args) throws Exception {
        ObjectOutputStream out=new ObjectOutputStream(new FileOutputStream("E:\\tao.txt"));
        //创建一个ObjectOutputStream流,将序列化对象输出到tao.txt
        User user=new User();
        user.setName("tao");
        user.setAge(20);
        //实例化User
        out.writeObject(user);
        ObjectInputStream in=new ObjectInputStream(new FileInputStream("E:\\tao.txt"));
        // 创建一个 ObjectOutputStream 输出流
        User tao=(User)in.readObject();
        //将readObject反序列化的结果转化成User类,实例成tao
        System.out.println(tao);
    }
}

结果

这是新的readObject!
User{name=null, age=0}

可见在反序列化的时候实现了新的readObject()

那么就可以命令执行了

 private void readObject(ObjectInputStream in) throws IOException{
        Runtime.getRuntime().exec("calc");
    }

弹计算器了!

这里初步了解java序列化与反序列话,后续构造链会继续学习。

参考博客

java基础知识点2:序列化与反序列化详解_java序列化和反序列化-CSDN博客

javasec/2.java序列化与反序列化.md at master · Maskhe/javasec (github.com)

tao0845
关注
  • 24
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java 不能反序列化_Java序列化反序列化
weixin_29924243的博客
02-24 1269
一、序列化反序列化1、概述序列化:简单理解就是把程序里面生成的对象以文件的形式保存到本地硬盘中,序列化写入文件的IO是ObjectOutputStream流。反序列化:就是把序列化的对象文件导入到程序中,并生成为一个对象,供程序使用。反序列化的读取对象文件的IO流是 ObjectInputStream。Java 中,经典的方式实现对象序列化,可以实现序列化接口。2、哪些属性不序列化static ...
java反序列化失败怎么处理_处理dubbo反序列化失败的坑
weixin_34363835的博客
02-27 1236
kubernetes权威指南从docker到实践79.8元包邮(需用券)去购买 >前言今天下午,当我经过一个小时的奋”键“疾”码“,准备好好的审查一下(摸鱼)自己写的代码,经过一段时间审查(摸的差不多了,该下班了),得出一个结论我写的代码很优雅、精简。所以大手一挥提交代码,并在API管理系统上将xxx接口点了个完成。准备收拾东西走人了准点下班。然而事与愿违,没过多久前端大哥就@我了,说xxx...
Java反序列化基础入门
cike_y
03-28 660
Java反序列化入门笔记
滚雪球学Java(76):从零开始:Java对象序列化反序列化的简明指南
最新发布
**My Coding Family**
04-15 706
🏆本文收录于「滚雪球学Java」专栏,专业攻坚指数级提升,希望能够助你一臂之力,帮你早日登顶实现财富自由🚀;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!!
12-java安全——java反序列化CC7链分析
网络安全
08-23 2665
在分析CC7链之前,需要对Hashtable集合的源码有一定的了解。 从思路上来说,我觉得CC7利用链更像是从CC6利用链改造而来,只不过是CC7链没有使用HashSet,而是使用了Hashtable来构造新的利用链。 经过测试,CC7利用链在jdk8u071和jdk7u81都可以利用成功,payload代码如下: package com.cc; import org.apache.commons.collections.Transformer; import org.apache.commo
CTFSHOW web入门 java反序列化篇 web855
羽的博客
12-13 1924
ctfshow java反序列化
CTFSHOW web入门 java反序列化篇(更新中)
羽的博客
12-07 4485
ctfshow web入门 java反序列化
【入坑JAVA安全】手把手教你写反序列化POC
一个安全研究员
04-15 1949
要是你是妹子就更好了~
Java序列化详解(基础入门
辰兮要努力
08-07 896
本期一起入门学习Java序列化反序列化
Java反序列化实战.pdf
08-08
本议题将从那些经典案例入手,分析攻击方和防御方的对抗过程。会从fastjson与weblogic的两个经典漏洞,带大家傲游反序列化的世界。 反序列化入门 Fastjson Weblogic 反序列化防御
Java SE编程入门教程 java序列化(共14页).pptx
12-04
Java SE编程入门教程 java入门以及变量debug(共63页).pptx Java SE编程入门教程 java设计模式(共17页).pptx Java SE编程入门教程 java数组(共33页).pptx Java SE编程入门教程 java网络编程(共29页).pptx ...
Java反序列化入门之URLDNS链1
08-03
Java反序列化漏洞是一种安全问题,主要出现在Java应用程序中,当程序不安全地处理来自不可信源的反序列化数据时,攻击者可以构造恶意序列化对象,导致非预期的对象创建或代码执行。本文将深入探讨Java反序列化的基本...
java序列化原理与算法
11-28
详细讲解了java序列化用处、原理、算法、如何实现。希望能帮到大家。
Java入门基础.pdf
11-30
本文档是Java入门基础的学习资源,涵盖Java开发入门Java编程基础、面向对象、多线程、集合框架、IO流、网络编程、安全加密、反射机制、新特性和内存管理等多方面的内容。 Java开发入门 * JDK、JRE、JVM的区别与...
Java入门教程.zip
03-05
6. **输入/输出(I/O)**:了解Java的I/O流,包括文件操作、网络通信以及数据的序列化反序列化。 7. **字符串处理**:掌握String类的常用方法,以及StringBuilder和StringBuffer类在字符串拼接中的使用。 8. **多...
java入门课程资料.zip
05-28
18. 输入/输出(I/O)流:了解字节流和字符流的区别,以及缓冲区、对象序列化等高级I/O操作。 "mysql"这个文件名可能指的是数据库相关的学习资料,Java与MySQL的结合是常见的数据存储解决方案。这部分可能包括: -...
JAVA入门与实例.zip_java应用实例
12-19
"JAVA入门与实例.zip"这个压缩包很可能是为了帮助新手逐步掌握Java编程而设计的一系列教程。文件名以100.001、100.002等形式命名,可能代表着课程或实例的序列,按照数字顺序逐步深入。这些文件可能包含文字讲解、...
java入门到精通.zip
03-07
6.4 对象序列化:理解对象持久化的概念,实现Serializable接口进行对象的序列化反序列化。 七、线程与并发 7.1 线程概念:理解并发和多线程,创建和启动线程,掌握Thread类和Runnable接口。 7.2 线程同步:学习...
Java持久化API入门指南:概念与实战
Java持久化API迷你书》是一本由赫伯特·科埃略...《Java持久化API迷你书》适合Java开发者快速入门JPA,或者希望深化理解JPA实践的人员阅读,通过丰富的示例和清晰的讲解,帮助他们提高在实际项目中的持久化编程效率。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

tao0845

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值