JAVA反序列化漏洞基础原理

最新推荐文章于 2023-02-22 23:24:36 发布
最新推荐文章于 2023-02-22 23:24:36 发布
阅读量1.5k 收藏 13
点赞数 1
分类专栏: JAVA安全 文章标签: java 编程语言 jvm python 大数据
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45382656/article/details/118565080
版权

JAVA反序列化漏洞基础原理

1.1 什么是序列化和反序列化?

Java序列化是指把Java对象转换为字节序列的过程;

Java反序列化是指把字节序列恢复为Java对象的过程;

image-20210507210106526

1.2 为什么要序列化

对象不只是存储在内存中,它还需要在传输网络中进行传输,并且保存起来之后下次再加载出来,这时候就需要序列化技术。

Java的序列化技术就是把对象转换成一串由二进制字节组成的数组,然后将这二进制数据保存在磁盘或传输网络。而后需要用到这对象时,磁盘或者网络接收者可以通过反序列化得到此对象,达到对象持久化的目的。

1.3 ObjectOutputStream 与 ObjectInputStream类

1.3.1 ObjectOutputStream类

java.io.ObjectOutputStream 类,将Java对象的原始数据类型写出到文件,实现对象的持久存储。

序列化操作

一个对象要想序列化,必须满足两个条件:

  • 该类必须实现 java.

最低0.47元/天 解锁文章
洋洋cc
关注
  • 1
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java序列原理_Java 序列序列的底层原理
weixin_36051235的博客
02-27 1369
序列序列序列是通过某种算法将存储于内存中的对象转换成可以用于持久存储或者通信的形式的过程序列是将这种被持久存储或者通信的数据通过对应解析算法还原成对象的过程,它是序列的逆向操作为什么需要序列前端请求后端接口数据的时候,后端需要返回 JSON 数据,这就是后端将 Java 堆中的对象序列为了 JSON 数据传给前端,前端可以根据自身需求直接使用或者将其序列为 JS 对象R...
【代码扫描修复】不安全的序列攻击(1),网络安全 400道面试题通关宝典助你进大厂
最新发布
egregw的博客
04-06 942
在运行时对用户控制的对象流进行序列,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致。将内存对象转为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转为对象实例。数据格式序列后的信息样例二进制在这里插入图片描述xmljsonyaml!/*** 白名单校验*/super(in);@Override// 白名单校验if (!
java基础--序列漏洞原理
zyer
05-04 4442
原理 根据上篇文章可以了解到,一个类想要实现序列序列,必须要实现 java.io.Serializable 或 java.io.Externalizable 接口。 Serializable 接口是一个标记接口,标记了这个类可以被序列序列,而 Externalizable 接口在 Serializable 接口基础上,又提供了 writeExternal 和 readExternal 方法,用来序列序列一些外部元素。 其中,如果被序列的类重写了 writeObject 和 r
(38)【JAVA序列漏洞】简介、原理、工具、环境、靶场、思路
04-23 3611
【专题】JAVA序列
6-java安全——java序列漏洞利用链
网络安全
07-01 3960
本篇将学习java序列漏洞原理,然后结合一个apache commons-collections组件序列漏洞来学习如何构造利用链。 我们知道序列操作主要是由ObjectOutputStream类的 writeObject()方法来完成,序列操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列对象重写了readObject方法后,在序列时一般会调用序列对象的readObject方法。 在Student类中重写ObjectInputSt
JAVA序列序列的底层实现原理
青鸟飞鱼
05-05 2936
一、基本概念 1、什么是序列序列 (1)Java序列是指把Java对象转换为字节序列的过程,而Java序列是指把字节序列恢复为Java对象的过程; (2)**序列:**对象序列的最主要的用处就是在传递和保存对象的时候,保证对象的完整性和可传递性。序列是把对象转换成有序字节流,以便在网络上传输或者保存在本地文件中。序列后的字节流保存了Java对象的状态以及相关的描述...
JAVA序列漏洞知识点整理
01-20
jenkins序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA序列漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA序列漏洞相关的知识点。  JAVA序列漏洞  序列漏洞的...
Java序列漏洞1
08-04
本文将详细介绍Java序列漏洞原理、危害和防范措施。 什么是序列序列? 在Java语言中,对象是无法直接存储或传输的,因为对象是抽象的概念,无法被物理存储或传输。为了解决这个问题,Java提供了序列...
JAVA及Jackson序列漏洞.docx
07-27
以CVE-2020-10673为例,这是一个针对Jackson库的序列漏洞,它影响了Jackson 2.9.2版本。复现该漏洞通常涉及构造特定的JSON输入,利用Jackson序列时的弱点,触发恶意行为。在复现过程中,需要设置合适的环境...
Java序列序列原理漏洞解决方案
08-18
Java序列序列原理漏洞解决方案 Java序列序列原理漏洞解决方案是Java编程语言中的一项重要机制,该机制允许将Java对象转换为字节序列,以便在网络上传输或存储在文件中。同时,Java也提供了序列...
java序列漏洞原理分析及防御修复方法
热门推荐
m0_38103658的博客
09-06 1万+
Java序列漏洞原理 谈起java序列漏洞,相信很多人都不会陌生,这个在2015年首次被爆出的漏洞,几乎横扫了包括Weblogic、WebSphere、JBoss、Jenkins等在内的各大java web server,历经几年的发展变种,各种语言工具依次爆出存在可利用的序列漏洞。 具全网分析以及shodan扫描显示,时至今日,在全球范围内的公网上大约有136,818台服务器依...
java序列序列全讲解
追光者的博客
06-03 1672
java序列序列全讲解
java序列原理,java序列的工作原理
weixin_34739699的博客
03-15 122
据我所知,没有调用Object的序列类的构造函数,而是第一个非序列构造函数的no-arg构造函数.现在考虑以下代码public class SerializeDemo implements Serializable {private String name;int age; //default 0public SerializeDemo(String name, boolean setA...
java序列漏洞基础
02-22 584
近年来序列漏洞可谓被大家熟知,尤其是的在JAVA 程序中发现了大量的序列漏洞,这种漏洞危害极大,可以直接造成RCE,获取到权限,本人之前对于这个漏洞一致认识很浅薄,甚至对于利用方式和工具都不太清楚,本文是对java语言基础序列序列进行学习。
java序列序列原理_java 序列序列的实现原理
weixin_39789646的博客
02-19 128
老是听说序列序列,就是不知道到底什么是序列,什么是序列?今天就在网上搜索学习一下,这一搜不要紧,发现自己曾经用过,竟然不知道那就是JDK类库中序列序列的API。----什么是序列?--1--java序列是指把java对象转换为字节序列的过程,而java序列是指把字节序列恢复为java对象的过程--2--序列:对象序列的最主要的用处就是在传递和保存对象的时候,保证对象...
Java序列漏洞
MRS_jianai的博客
02-19 684
Java序列源码复现
Java序列漏洞分析
abg49988的博客
10-15 1369
相关学习资料   http://www.freebuf.com/vuls/90840.html   https://security.tencent.com/index.php/blog/msg/97   http://www.tuicool.com/articles/ZvMbIne   http://www.freebuf.com/vuls/86566.html  ...
序列序列的底层实现原理是什么
T_Janey
07-02 3829
序列序列作为Java里一个较为基础的知识点,大家心里也有那么几句要说的,但我相信很多小伙伴掌握的也就是那么几句而已,如果再深究问一下Java如何实现序列序列的,就可能不知所措了!遥记当年也被问了这一个问题,自信满满的说了一大堆,什么是序列、什么是序列、什么场景的时候才会用到等,然后面试官说:那你能说一下序列序列底层是如何实现的吗?一脸懵逼,然后回家等通知!一、基本概念...
Java序列漏洞原理
07-14
Java序列漏洞是一种安全漏洞,它利用了Java中的对象序列序列的机制。在Java中,对象可以通过序列转换为字节流,然后再通过序列将字节流转换为对象。这个过程可以用来在网络上传输对象,或者将对象...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值