超级会员免费看
本文详细探讨了Java序列化的基本概念,包括其在RMI、JNDI、JSON等场景中的应用,以及由此引发的安全问题,如JNDI注入。文章分析了序列化漏洞的分类,如RMI和JNDI注入,展示了具体的攻击链和实例。此外,文章还介绍了Logback和Jackson-databind的序列化漏洞案例,强调了JNDI注入的安全风险,如Log4Shell漏洞。最后,提出了Java序列化机制的改进措施,如使用record和反序列化过滤器,并给出了避免序列化漏洞的建议。
现阶段公司会进行季度的安全巡检,扫描出来的 Java 相关漏洞,无论是远程代码执行、还是 JNDI 注入,基本都和 Java 的序列化机制有关。本文简单梳理了一下序列化机制相关知识,解释为什么这么多漏洞都和 Java 的序列化有关,以及后续怎么避免这些安全漏洞,减少版本升级工作量。同时能基于本文的知识,在看到序列化漏洞后,简单评估该漏洞对自身应用的影响。
一、序列化概述
序列化主要是提供了一种机制,方便数据在网络之间进行传输,或者独立于程序存储在本地磁盘。
序列化的使用场景很广,比如服务器收到请求参数,一种处理方式是一个个解析数据,自己构建处理数据。还有一种就是直接将数据反序列化为对象。当要把对象存储到缓存时,我们可以自己解析对象生成数据保存到缓存,取出时也自己处理数据转换为对象,也可以直接借助语言的序列化机制帮我们将对象序列化为数据存储起来,从缓存里获取数据后直接反序列化转为对象。在这些场景里,很明显序列化机制能极大改善我们的编程体验。
Java 序列化基础
最简单模式:
implements Serializable我们可以只实现序列化接口,让Java 序列化机制会帮我们处理其他的一切事情。
基于Serializable接口简单定制
一个对象想要被序列化,那么它的类就要实现此接口或者它的子接口。
这个对象的所有属性(包括private属性、包括其引用的对象)都可以被序列化和反序列化来保存、传递。不想序列化的字段可以使用transient修饰。
可以用transient指定不想序列化的数据,比如密码等敏感数据。
由于Seriali
订阅专栏 解锁全文
451
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
