序列化和反序列化、以及反序列化注入问题要点

最新推荐文章于 2024-08-16 21:49:10 发布
最新推荐文章于 2024-08-16 21:49:10 发布
阅读量1.6k 收藏 2
点赞数 1
分类专栏: Java 序列化 文章标签: 序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_41815248/article/details/94664958
版权

所有你想要的东西都标着价格

序列化的实体是个对象,结果也是个对象,并非是格式化文本,你在记事本里看到的购物信息保存记录,其实不是对象序列化的结果,而是对象输出的格式化文本,真正的序列化对象是看不懂的。

序列化的应用场景

在实际使用对象序列化时,

  1. 一种应用场景是将对象序列化到持久化存储(本地硬盘),我们此时不想做文件解析,也不想有人读懂这个持久化文件,当我们需要时,可以直接采用反序列化将保存的文件生成为对象;
  2. **另一种应用场景是在网络传输过程中,此时对象会在不同主机上传播,序列化会将对象转成码流由对端进行解析,这个解析过程不需要人参与。 **
    普通字符串是经过解析后的对象,有对象到字符串要加入解析逻辑,人才能看懂。
    序列化的结果是个只有JAVA虚拟机认识的文件,人不参与,只是用于保存对象或传输。
    简单说,像一篇文章里提到的那样,“”当你想从一个jvm中调用另一个jvm的对象时,你就可以考虑使用序列化了。序列化的作用就是为了不同jvm之间共享实例对象的一种解决方案。”

JDK中序列化和反序列化API

java.io.ObjectOutputStream代表对象输出流,它的writeObject(Object obj)方法可对参数指定的obj对象进行序列化,把得到的字节序列写到一个目标输出流中。
java.io.ObjectInputStream代表对象输入流,它的readObject()方法从一个源输入流中读取字

最低0.47元/天 解锁文章
种子选手席同学
关注
专栏目录
Java反序列化(之)JNDI注入
Vicl1fe的博客
12-29 1063
前言 为了学fastjson也是煞费苦心,害。感觉参考中文章讲的很容易去理解,文章大部分都参考它的。 JNDI Java命名和目录接口(JNDI)是一种Java API,类似于一个索引中心,它允许客户端通过name发现和查找数据和对象。 代码格式如下 String jndiName= ...;//指定需要查找name名称 Context context = new InitialContext();//初始化默认环境 DataSource ds = (DataSourse)context.lookup(jn
Java反序列化注入内存马
02-09 2529
Java内存马总体有Servlet/Filter/Listern/Java-Agent四种,前三种思路都差不多,通过不同方式获取到ApplicationContext/servletContext/StandardContext等对象,然后往ApplicationContext/servletContext/StandardContext注入恶意的Servlet/Filter/Listern,这里通过注入 Filter实现内存马。 实现一 通过Thread.currentThread().getContex
php反序列化注入,php关于反序列化对象注入漏洞
weixin_42497828的博客
03-09 346
php对象注入是一个非常常见的漏洞,这个类型的漏洞虽然有些难以利用,但仍旧非常危险。本文主要和大家分享php关于反序列化对象注入漏洞详解,希望能帮助到大家。分析php基础serialize 把一个对象转成字符串形式, 可以用于保存unserialize 把serialize序列化后的字符串变成一个对象php类可能会包含一些特殊的函数叫magic函数,magic函数命名是以符号__开头的,比如 __...
偷梁换柱-反序列化漏洞
最新发布
m0_57836225的博客
08-16 792
总之,反序列化漏洞的关键在于服务器对用户输入的序列化数据缺乏足够的验证和安全处理,使得恶意输入能够干扰正常的反序列化过程,从而造成各种安全问题。假设我们有一个基于 Spring Boot 的 Web 应用,其中有一个接口用于处理用户提交的序列化数据,并将其反序列化为一个 Java 对象。在很多情况下,用户输入的序列化数据通常是 JSON 格式,也可能是 XML 格式、YAML 格式或者特定编程语言自定义的序列化格式。在实际应用中,应该对用户输入的序列化数据进行严格的验证和过滤,以避免此类漏洞的发生。
php反序列化注入,PHP反序列化由浅入深
weixin_33278498的博客
03-09 639
0x00 PHP序列化是什么两个函数serialize() //将一个对象转换成一个字符串unserialize() //将字符串还原成一个对象通过序列化反序列化我们可以很方便的在PHP中进行对象的传递。本质上反序列化是没有危害的。但是如果用户对数据可控那就可以利用反序列化构造payload攻击。示例序列化class test{private $flag = "flag{233}";...
Java反序列化触发方式
weixin_42974824的博客
08-25 1234
Java反序列化触发方式
C#使用Json.Net进行序列化反序列化及定制化
12-31
反序列化(Deserialize)则是将上面的字节流转换为相应对象的过程;在.Net阵营中,Json.Net是由官方推荐的高性能开源序列化/反序列化工具,其官方网站:https://www.newtonsoft.com/json; 一、将对象序列化为Json...
详解PHP序列化反序列化原理
10-18
总结来说,PHP序列化反序列化原理涉及对象状态的持久化存储和迁移,但需要注意自描述功能的实现、性能问题以及安全性问题。通过理解这些知识,开发人员可以更加合理地在PHP应用中使用序列化机制,保证数据处理的...
基于Json序列化反序列化通用的封装完整代码
08-30
基于Json序列化反序列化通用的封装完整代码是指使用JsonHelper类来实现Json序列化反序列化的功能。该类提供了多种方法来实现Json序列化反序列化,包括使用Newtonsoft.Json和System.Runtime.Serialization.Json...
深入分析Java的序列化反序列化
12-22
序列化是一种对象持久化的手段。普遍应用在网络传输、RMI等场景中。本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java的序列化  为什么实现了java.io....
深入理解C#序列化反序列化的详解
01-01
在我们深入探讨C#序列化反序列化之前我们先要明白什么是序列化,它又称串行化,是.NET运行时环境用来支持用户定义类型的流化的机制。序列化就是把一个对象保存到一个文件或数据库字段中去,反序列化就是在适当的...
[Java安全]—Tomcat反序列化注入回显内存马
Sentiment的博客
12-03 1046
在之前学的tomcat filter、listener、servlet等内存马中,其实并不算真正意义上的内存马,因为Web服务器在编译jsp文件时生成了对应的class文件,因此进行了文件落地。所以本篇主要是针对于反序列化进行内存马注入来达到无文件落地的目的,而的和可以直接获取,但是反序列化的时候却不能,所以回显问题便需要考虑其中。既然无法直接获取request和response变量,所以就需要找一个存储请求信息的变量,根据kingkk师傅的思路,在中找到了: 并且这两个变量是静态的,因此省去了获取对象实例
结合反序列化注入tomcat内存马
白帽子凯哥哥的博客
05-24 1111
通过前几个内存马的学习我们可以知道,将内存马写在jsp文件上传并不是传统意义上的内存马注入,jsp文件本质上就是一个servlet,servlet会编译成class文件,也会实现文件落地。借用木头师傅的一张图结合反序列化注入内存马是动态注入内存马的常用方法,然而通过反序列化注入的方式没有jsp文件的request内置类,所以获取回显的方式我们也需要考虑,在此写下这篇文章分析总结反序列化注入的方法细节。读者福利 |CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享(安全链接,放心击)
【技术分享】JAVA反序列化安全实例解析
weixin_34292402的博客
10-31 284
2019独角兽企业重金招聘Python工程师标准>>> ...
反序列化漏洞详解
qq_48904485的博客
03-21 3794
一、基础知识 1、序列化 序列化serialize() 序列化说通俗就是把一个对象变成可以传输的字符串,序列化的目的是方便数据的传输和存储。在PHP应用中,序列化反序列化一般用做缓存,比如session缓存,cookie等。 常见序列化格式: 二进制格式 字节数组 json字符串 xml字符串 比如下面是一个对象: class S{ public $test="pikachu"; } $s=new S(); //创建一个对象 serialize($s
【PHP】反序列化漏洞(又名“PHP对象注入”)
weixin_45844670的博客
08-22 3506
PHP对象注入(俗称反序列化漏洞)相关函数漏洞成因实现例子 相关函数 在利用这个漏洞之前我们要先了解相关的函数都有什么,弱在哪里 看不懂下面的不要紧 后面我会慢慢解释 unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。返回的是转换之后的值,可为 integer、float、string、array 或 object。如果传递的字符串不可解序列化,则返回 FALSE。与之相对的函数serialize()序列化函数。 掌握语言的最好方法就是自己动手敲 我们举个例子 &l
Java反序列化和JNDI注入漏洞案例实战
悦分享
08-04 1004
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
4.28序列化反序列化学习要点
Liu1995zhihua的博客
04-28 238
1.序列化机制是将实现了序列化的JAVA对象转换成字节序列,只有实现了java.io.Serializable接口的类的对象才能被实列化步骤如下:1.引入相关类的包。              2.创建一个对象对象输出流(ObjectOutputstream),它可以包装一个其它类型的输出流,比如Outputstream;              3.通过对象输出流的WriteObject();...
php反序列化漏洞的漏洞原理,如何防御此漏洞?如何利用此漏洞?
ZL_1618的博客
06-08 592
原理:PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。防御:1)签名与认证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值