对象序列化的危害有多大?

最新推荐文章于 2024-05-21 09:42:29 发布
最新推荐文章于 2024-05-21 09:42:29 发布
阅读量1.2k 收藏 3
点赞数 3
分类专栏: 学习方法总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39088066/article/details/102652874
版权

如果一个函数或者对象, 不管它位于多么遥远的地方, 都可以在本地直接被调用, 那该有多好呀!

比如远程
过程调用(RPC) 、 远程方法调用(RMI) 、 分布式对象(Distributed Object) 、 组件对象模型(COM) 、 公共对象请求代理(CORBA) 和简单对象访问协议(SOAP) 等……这个列表还可以很长很长。

躲在这些协议背后的核心技术之一, 就是序列化。

简单地说, 序列化就是要把一个使用场景中的一个函数或者对象以及它们的执行环境, 打包成一段可以传输的数据, 然后把该数据传输给另
外一个使用场景。 在这个使用场景中, 该数据被拆解成适当的函数或者对象, 包括该函数或者对象的执行环境。 这样, 该函数或者对象就可以在不同的场景下使用了

数据拆解的过程, 就是反序列化。 打包、 传输、 拆解是序列化技术的三个关键步骤。
由于传输的是数据, 打包和拆解可能使用不同的编程语言, 运行在不同的操作系统上。 这样就带来了跨平台和跨语言的好处。 而数据能够传输, 就意味着可以带来分布式的好处。 数据当然也可以存储, 而可以存储意味着相关对象的生命周期的延长, 这是不是也是一个非常值得兴奋的特点?
的确是一个美妙的想法, 对吧? 如果一个想法不是足够好, 它也不会造成足够坏的影响。

代码有什么问题吗? 该怎么解决这个问题?

public class Person implements Serializable {
   
// <snipped>
private String firstName;
private String lastName;
private String birthday;
private String socialSecurityNumber;
public Person(String firstName, String lastName,
String birthday,
最低0.47元/天 解锁文章
欢乐大象
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
shiro反序列化工具,加强版
12-27
例如,如果服务器将用户的会话对象序列化并存储在服务器端或者在客户端之间传递,而没有进行安全检查,就可能出现反序列化漏洞。加强版的"shiro反序列化工具"可能是一个用于检测、测试或利用此漏洞的工具。 为了...
序列化注意事项
喜码拉雅
08-17 324
参考《深入理解Java web 技术内幕》 1.当父实现Serializable接口时,所有子都可以被序列化代码: import java.io.Serializable; public class SerialFather implements Serializable { private static final long serialVersionUID = -...
序列化
征服珠穆朗玛
11-30 1809
序列化概念为什么您想要使用序列化?有两个最重要的原因:一个原因是将对象的状态永久保存在存储媒体中,以便可以在以后重新创建精确的副本;另一个原因是通过值将对象从一个应用程序域发送到另一个应用程序域中。例如,序列化可用于在 ASP.NET 中保存会话状态并将对象复制到 Windows 窗体的剪贴板中。远程处理还可以使用序列化通过值将对象从一个应用程序域传递到另一个应用程序域中。永久存储通常需要将一
深入探讨Java序列化安全问题与解决方案
最新发布
weixin_53840353的博客
05-21 375
Java序列化是Java平台中一个非常实用的功能,它允许对象的状态被保存到字节流中,以便于存储或网络传输。然而,这一功能也伴随着一系列的安全隐患,特别是在处理敏感数据和外部输入时。本文将详细探讨Java序列化可能引发的安全问题,并提供一系列的解决方案和最佳实践。
重复 implements Serializable 导致的序列化问题
q459997705的博客
09-29 258
dubbo 序列化
浅谈序列化
qq_52889028的博客
01-25 369
序列化 读写一个对象的前提是这个型的对象是可序列化对象序列化简单的来说就是将对象可以直接转换为二进制数据流 对象的反序列化将二进制数据流转换为对象 针对对象序列化和反序列化是通过JVM实现的,编程中只做声明,序列化的目标就是将对象保存到磁 盘中或者允许在网络中直接传动 编程应用 1、依靠Serializable接口进行声明,如果需要特殊操作可以实现Externalizable接口。Serializable接口 属于旗标接口【标识接口】,仅仅只起到说明的作用,没有需要实现的方法 重新定义Accoun
序列化与反序列化
look to the master, follow the master,
03-26 2398
序列化与反序列化.
weblogic反序列化.zip
07-08
在WebLogic中,反序列化漏洞是一种常见的安全问题,它允许攻击者通过发送特制的序列化对象来执行任意代码,从而对系统造成严重影响。本篇文章将详细探讨WebLogic反序列化漏洞的原理、危害、补丁应用以及临时整改策略...
ThinkPHP v6.0.7 eval反序列化利用链1
08-03
由于这个问题涉及多个和方法,以及PHP的序列化机制,解决它需要对ThinkPHP框架以及PHP语言有深入的理解。开发者应尽快更新到修复此问题的新版本,以防止可能的安全威胁。同时,对于使用ThinkPHP的开发者来说,了解...
S22-XMLDecoder反序列化1
08-03
在Java编程语言中,`XMLDecoder`和`XMLEncoder`是用于对象序列化和反序列化的工具。这两个属于`java.beans`包,主要用于将Java对象转换为XML格式的字符串,以及将XML数据恢复为Java对象。在给定的标题和描述中,...
Java Web反序列化网络安全漏洞分析.pdf
03-31
Java Web反序列化漏洞是指在Java Web应用程序中,由于对序列化对象的不当处理,攻击者可以构造恶意的序列化数据,导致程序在反序列化过程中执行非预期的代码,从而引发安全问题。这种漏洞的存在使得攻击者可以绕过...
关于java的序列化
sharke118的专栏
05-04 419
简介: Java 对象序列化(Java Object Serialization)在 Java 编程中是如此基本,以致很容易让人想当然。但是,和 Java 平台的很多方面一样,只要肯深入挖掘,序列化总能给予回报。在这个新系列的第一篇文章中,Ted Neward 给出 5 个需重新审视 Java 对象序列化的理由,并提供重构、加密和验证序列化数据的技巧(和代码)。数年前,当和一个软件团队一起用
JAVA Web应用常见漏洞与修复建议
qq_39560975的博客
07-27 6249
跨站脚本、输入验证、代码注入等常见漏洞解析和修改方案
java序列化安全问题
qq_29827369的博客
03-27 1495
如果一个函数或者对象,不管它位于多么遥远的地方,都可以在本地直接被调用,那该有多好 呀!这是一个非常朴素、美好的想法。基于这个设想,诞生了很多伟大的技术和协议,比如远程 过程调用(RPC)、远程方法调用(RMI)、分布式对象(Distributed Object)、组件对象模 型(COM)、公共对象请求代理(CORBA)和简单对象访问协议(SOAP)等……这个列表还可 以很长很长。...
序列化和反序列化(五)——敏感字段加密
gaohuanjie的专栏
04-24 3837
情景:服务器端给客户端发送序列化对象数据,对象中有一些数据是敏感的,比如密码字符串等,希望对该密码字段在序列化时,进行加密,而客户端如果拥有解密的密钥,只有在客户端进行反序列化时,才可以对密码进行读取,这样可以一定程度保证序列化对象的数据安全。 解决:在序列化过程中,虚拟机会试图调用对象里的 writeObject 和 readObject 方法,进行用户自定义的序...
模型序列化器特点,缺点
weixin_60732674的博客
07-03 111
模型序列化
java代码审计之反序列化(敏感信息泄露)
糖小喵
05-07 4735
前言 在 Java 环境中,允许处于不同受信域的组件进行数据通信,从而出现跨受信边界的数据传输。不要序列 化未加密的敏感数据;不要允许序列化绕过安全管理器。 public class GPSLocation implements Serializable { private double x; // sensitive field private double y; // sensitive...
Java序列化敏感字段加密
God_Mood的博客
01-03 3655
     在序列化过程中,虚拟机会试图调用对象里的 writeObject 和 readObject 方法,进行用户自定义的序列化和反序列化,如果没有这样的方法,则默认调用是 ObjectOutputStream 的 defaultWriteObject 方法以及 ObjectInputStream 的 defaultReadObject 方法。用户自定义的 writeObject 和 read...
java反序列化攻击
10-05
攻击者可以通过修改被序列化对象的内容,或者创建恶意的序列化数据,来导致代码执行、远程命令执行、上传恶意脚本等危害。这个漏洞主要是因为Java中的反序列化机制存在安全问题,攻击者可以利用这个机制来绕过授权...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值