JAVA反序列化

于 2023-12-20 13:49:03 发布
阅读量421 收藏 7
点赞数 8
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sjt2323302003/article/details/135106195
版权


1.利用反序列化漏洞将程序运行的对象以二进制形式储存在文件系统中,在另一个程序中对序列化后的对象状态数据,进行反序列化恢复对象,可以实现多平台通信,对象持久化存储。
2.可以利用payload生成器
            或者自定义工具检测
3.检测可以分为黑盒检测和白盒检测
黑河检测又分为(数据格式点)1.HTTP请求中参数
                                                  2.自定义协议
                                                  3.RMI协议
                            (特定扫描)
白盒测试又分为(函数点)Object Input stream.read Object
                      Object Input stream.read Object
                      XML Decode.read Object
                      X stream.fromXML
                      Object Mapper.read value
                      JSON parse Object
              (组件点) 参考ysoserial库
                           (代码库) RCE执行
                                               数据认证
以及恢复

4.在java中API(接口实现)
位置:java .io.Object Output Stream   java.io.Object Input stream
序列化:Object Out Put stream -->write Object()
该参数对指定obj对象进行序列化
反序列化:Object Input stream --> read Object()
从一个源输入流中读取字节序列再把他们反序列化为一个对象,之后将其返回
作为序列化标志的参考。
一段数据以ro0AB开头,确认是Java序列化的base64加密数据
如果以aced开头,那么就是一段java序列化16进制

demonlover
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java反序列化生成Payload附利用脚本
02-12
Java反序列化生成Payload附利用脚本,帮助运维测试weblogic及jboss等中间件的漏洞。
Java中进行序列化和反序列化
贰拾壹
10-16 173
对象序列化允许把内存中的Java对象转换成平台无关的二进制流,从而允许把这种二进制流持久保存在磁盘上或者通过网络将这种二进制流传输到另外一个网络节点。
java 如何反序列化_Java中如何实现对象的序列化和反序列化?(两种方法)
weixin_36358109的博客
02-16 669
本篇文章给大家带来的内容是关于Java中如何实现对象的序列化和反序列化?(两种方法),有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。引言:序列化是将对象的状态信息转换为可以存储或传输的形式的过程,在序列化期间,对象将其带你过去的状态写入到临时或持储存区,反序列化就是重新创建对象的过程,此对象来自于临时或持久储存区。序列化的作用:就好比如存储数据到数据库,将一些数据持久化到数据库中,...
java如何反序列化对象_Java序列化和反序列化
weixin_29482557的博客
03-08 545
1. Java序列化和反序列化(What)Java序列化(Serialize)是指将一个Java对象写入IO流中;Java反序列化(Deserialize)指的是从IO流中回复IO对象。2. 序列化的意义(Why)序列化机制可以将Java对象转换为数据流用来保存在磁盘上或者通过网络传输。这使得对象可以脱离程序独立存在。3. 如何进行序列化(How)为了使对象支持序列化机制,需要让它的类变成可序列化...
Java反序列化方式_Java 序列化 与 反序列化 的各种方式
weixin_32562973的博客
03-01 423
个人理解,Java 的序列化和反序列化,是指可以把 java 对象持久化后,又可以重新从持久化的数据中生成 java 对象。下面是这些年遇到的一些序列化和反序列化方式。1. JDK 自带的流序列化和反序列化java.io.ObjectOutputStream 可以把 java 对象序列化。java.io.ObjectInputStream 可以把持久化后的数据反序列化java 对象。PS: ...
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
java反序列化利用程序UI版Beta1.1.rar
07-20
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于将对象的状态转换为字节流,以便可以存储或在网络上传输。而反序列化则将这个字节...
Java反序列化工具.zip
05-31
Java反序列化是一种将之前序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方法。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络传输中将对象从一个系统传输到另一个...
java反序列化利用工具
07-06
Java反序列化是一种将已序列化的对象状态转换回对象的过程,通常用于持久化数据或在网络间传输对象。在Java中,这一过程涉及到`java.io.ObjectInputStream`类,它能够读取由`java.io.ObjectOutputStream`写入的字节...
Java反序列化攻击
01-21
Java 反序列化攻击漏洞由FoxGlove 的近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。  由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,...
Java反序列化漏洞之Weblogic、Jboss利用之payload生成工具
02-12
weblogic反序列化和jboss反序列化测试payload,仅供运维人员测试漏洞,请勿非法使用,否则后果自负!
Java中的序列化和反序列化
谢公子的博客
07-19 1273
目录 序列化和反序列化 JAVA WEB中的序列化和反序列化 对象序列化和反序列示例 序列化和反序列化 序列化 (Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。 反序列化:从存储区中读取该数据,并将其还原为对象的过程,称为反序列化。 简单的说,序列化和反序列化就是: 把对象转换为字节序列的过程称为对象的序列化 把字节序列恢复为对象的过程称为对象的反序列化 对象序列化的用途: 把对象的字节序列永久地保
java中序列化与反序列化
m0_37732829的博客
01-03 165
       把对象转换为字节序列的过程称为对象的序列化。   把字节序列恢复为对象的过程称为对象的反序列化。   对象的序列化主要有两种用途:   1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;   2) 在网络上传送对象的字节序列。   在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便长期保存。比如最常见的是Web服务器中的Session对象,...
Java的序列化和反序列化
SOOOOOF的博客
04-18 351
遇到这个 JavaSerializable序列化这个接口,我们可能会有如下的问题 a,什么叫序列化和反序列化 b,作用。为啥要实现这个 Serializable 接口,也就是为啥要序列化 c,serialVersionUID 这个的值到底是在怎么设置的,有什么用。有的是1L,有的是一长串数字,迷惑ing。 我刚刚见到这个关键字 Serializable 的时候,就有如上的这么些问题。 在处理这个问题之前,你要先知道一个问题,这个比较重要。 这个Serializable接口,以及相关的东西,全部都在 J..
java安全(五)java反序列化
weixin_45694388的博客
04-09 6326
序列化 在调用RMI时,发现接收发送数据都是反序列化数据. 例如JSON和XML等语言,在网络上传递信息,都会用到一些格式化数据,大多数处理方法中,JSON和XML支持的数据类型就是基本数据类型,整型、浮点型、字符串、布尔等,如果开发者希望在传输数据的时候直接传输一个对象,那么就不得不想办法扩展基础的JSON(XML)语法。比如,Jackson和Fastjson这类序列化库,在JSON(XML)的基础上进行改造,通过特定的语法来传递对象. RMI使用java语言内置的序列化方法,将一个对象转化成一串二进制
Java】序列化和反序列化
最新发布
m0_73595522的博客
06-04 370
Java】序列化和反序列化
Java序列化与反序列化详解
lovetheoneY的博客
05-16 212
Java的序列化与反序列化一、序列化是什么?二、反序列三、为什么需要序列化2.读入数据总结欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 提示:文章写完后,目录可以自动生成,如何生成可参考右边
Java 序列化的几种方式 和反序列化
mulinsen77的博客
04-16 2367
对象–>字节序列:序列化 字节序列–>对象 :反序列化 序列化的用途:把对象的字节序列保存在磁盘上,通常存放在一个文件中;在网络上传送对象的字节序列。 存储在物理磁盘上的:Web服务器中的Session对象。当有 10万用户并发访问,就有可能出现10万个Session对象,内存可能吃不消,于是Web容器就会把一些seesion先序列化到硬盘中,等要用了,再把保存在硬盘中的对象还原到内...
Java安全』反序列化-URLDNS POP链分析_ysoserial URLDNS payload分析
Ho1aAs‘s Blog
11-14 3480
文章目录POP链总览分析POC完 POP链总览 java.util.HashMap.readObject(); java.util.HashMap.putVal(); java.util.HashMap.hash(); java.net.URL.hashCode(); java.net.URLStreamHandler.hashCode(); java.net.URLStreamHandler.getHostAddress(); 分析 该反序列化的入口类是java.util.HashMap,它实现了Ser
java反序列化
05-31
Java反序列化是将序列化后的字节数据还原成Java对象的过程。序列化是将Java对象转换为二进制数据以便于在网络上传输或保存在本地磁盘中,反序列化则是将这些二进制数据还原成Java对象,以便于在程序中进行使用。 反序列化可以通过Java的ObjectInputStream类来实现,它提供了readObject()方法来读取序列化后的字节数据,并将其还原成Java对象。例如,以下代码可以将一个byte数组反序列化成一个对象: ```java ObjectInputStream in = new ObjectInputStream(new ByteArrayInputStream(byteArray)); Object obj = in.readObject(); ``` 在反序列化过程中,需要注意以下几点: 1. 反序列化过程中,如果读取的字节数据中包含了恶意代码,可能会导致程序被攻击。因此,反序列化需要谨慎处理,不要从不可信的源读取序列化数据。 2. 反序列化过程中,需要保证读取的字节数据与序列化时的对象类型一致,否则会抛出ClassCastException异常。 3. 反序列化后的对象需要进行类型检查,以确保其类型安全。例如,可以使用instanceof关键字来判断反序列化后的对象是否是期望的类型。 总的来说,反序列化Java中一个重要的概念,可以方便地将Java对象序列化后在网络上传输或保存在本地磁盘中,然后再反序列化还原成Java对象进行使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值