反序列化漏洞

已于 2024-04-22 02:45:40 修改
阅读量1.4k 收藏 38
点赞数 41
分类专栏: 漏洞原理 文章标签: 开发语言 php
于 2024-04-22 02:40:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62688091/article/details/138052871
版权

序列化和反序列化概念

序列化和反序列化是相对的,你可以就将其理解为数据的的编码和解码过程。一种语言系统下的数据结构只有在当前这个系统下才能够识别运行;当数据需要跨语言跨系统传输时,必须将其转成一种中间结构【文本,JSON XML ,自定义结构】,这个中间结构能被双方识别、还原,这个过程就是序列化和反序列化。
通常的使用场景:
通常有两个用途, 存储和传输 ,其实都是转储(转储,由一存储介质转移到另一存储介质)
1. 最常见的是将数据由 内存存储到硬盘 。数据或者对象在俩者之间的表示是有区别的,为了能在两者 之间还原对象,需要以特定的方式读取和写入数据或者对象。
2. 又比如,在 PHP 中表示的一个数据对象结构和 Javascript 表示的对象结构是不同的。那么通过将 java 中的一个数据对象序列化成一个Javascript 能够识别结构( JSON 格式 ), javascript 就能将其还原 成语义相同的数据,在Javascript 执行环境下运行
3. 还有图像数据的传输你也可以认为是一个序列化和反序列化的过程,在传输前将图像信息序列化成 一个二进制数据流带上图像格式信息,接收方在接收到二进制流后识别出图像格式,将其还原为相 应的图像对象显示出来
4. 打游戏,很多游戏都需要通关, 100 关,通道了 90 关, 存档 = 》 序列化的过程, 读取存档的过程 =》反序列化
总结:
序列化,将数据结构或 对象 转换成二进制串的过程。
反序列化,将在序列化过程中所生成的二进制串转换成数据结构或者对象的过程。
无论是进程间、线程间的通讯,或者 client server 通过 socket 通讯,还是把对象写到 db (实际上也是socket)。 这些交互都是通过收发
最低0.47元/天 解锁文章
感思
关注
  • 41
    点赞
  • 38
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
shiro反序列化漏洞
2403_82795493的博客
02-19 935
Apache官方披露Apache Shiro权限绕过漏洞(CVE-2022-32532),当Apache Shiro中使用RegexRequestMatcher进行权限配置,且正则表达式中携带"."时,未经授权的远程攻击者可通过构造恶意数据包绕过身份认证,导致配置的权限验证失效。会存在一段base64加密的字段,解码后就是攻击者的回显内容。shiro721的加密key基本猜不到,系统随机生成,可以使用登陆后的rememberMe去爆破正确的key值,即利用有效的RememberMe Cookie作为。
rmi 反序列化漏洞_反序列化漏洞整理
weixin_36123285的博客
12-23 392
群里总有人问反序列漏洞是啥啊,学不明白啊,从来没听明白过, 面试有人问,闲聊也有人问;1个月前有人问,1个月后还有人在问今天就来整理一下个人对反序列化漏洞理解和这个洞涉及的一些知识点各种语言都有反序列化漏洞序列化即将对象转化为字节流,便于保存在文件,内存,数据库中;反序列化即将字节流转化为对象也就是把数据转化为一种可逆的数据结构,再把这种可逆的数据结构转化回数据,这就是序列化与反序列化看到过一个通...
phar反序列化漏洞
csjjjd的博客
01-27 1355
基础:Phar是一种PHP文件归档格式,它类似于ZIP或JAR文件格式,可以将多个PHP文件打包成一个单独的文件(即Phar文件)。打包后的Phar文件可以像普通的PHP文件一样执行,可以包含PHP代码、文本文件、图像等各种资源,也可以对Phar文件进行签名、压缩和加密,我们还可以在文件包含中使用phar伪协议,可读取.phar文件。phar文件格式:stub.phar 文件标识,格式为xxx; manifest 压缩文件的属性等信息,以序列化存储;
反序列化漏洞-02】PHP反序列化漏洞原理测试及魔术方法总结
m0_64378913的博客
07-22 989
PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞形成的根本原因是程序没有对用户输入的反序列化字节流进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、GetShell等一系列不可控的后果。(在反序列化过程中,会触发代码执行。)反序列化漏洞并非是PHP所特有的,也存在与java、Python等语言中,原理基本相同。(1)理解PHP反序列化漏洞的触发原理;(2)了解PHP相关的魔术方法及调用情况。...
反序列化漏洞漏洞复现
来日可期的博客
09-05 3156
反序列化漏洞是指应用程序在对已经序列化的数据进行反序列化时,由于缺少必要的验证或过滤,导致恶意数据被成功地反序列化为对象并被执行。攻击者可以构造恶意数据来利用这个漏洞,攻击方式通常是通过网络等传输渠道向目标应用程序发送序列化数据,使得应用程序在反序列化时执行了攻击者所构造的恶意代码,进而导致应用程序受到攻击。
Java 反序列化漏洞
qq_61553520的博客
05-24 4792
在各种编程语言反序列化漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
网络安全筑基篇——反序列化漏洞
weixin_55762309的博客
06-27 1200
反序列化漏洞原理详解
fastjson反序列化漏洞
qq_63980959的博客
03-01 1288
​ Fastjson是一款开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到JavaBean。​ fastjson反序列化与weblogic、shiro反序列化类似,在客户端将json数据进行序列化传送至服务端后,服务端会将其反序列化读取其中数据,若客户端操控json数据,加入一些恶意类方法、代码,则可能会造成服务端代码执行。同时由于fastjson采用黑名单过滤的方式,也存在着被绕过的风险。
反序列化漏洞详解
热门推荐
LJH1999ZN的博客
03-07 3万+
目录 一、什么是序列化和反序列化 二、什么是反序列化漏洞 三、序列化函数(serialize) 四、反序列化(unserialize) ​五、什么是PHP魔术方法 六、一些常见的魔术方法 七、魔术方法的利用 八、反序列化漏洞的利用 1.__destruct()函数 2.__wakeup() 3.toString() ​九、反序列化漏洞的防御 一、什么是序列化和反序列化 序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串.
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Shiro反序列化漏洞检测工具
01-05
在Shiro的早期版本中,尤其是1.2.4及以下版本,存在一个严重的反序列化漏洞,这个漏洞可能导致远程代码执行(RCE)的风险,攻击者可以利用这个漏洞对目标系统进行非法操作。 反序列化漏洞通常出现在应用程序接收到...
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
开发语言的基本构成。
最新发布
luj_1768的博客
07-24 255
许多人都对设计一套自有知识产权的开发语言感兴趣。那么,如何按照功能模块设计开发语言
Vue3+ element plus 前后分离admin项目安装教程
luck332的专栏
07-21 549
前后分离admin项目安装基于 vue3.x + CompositionAPI + typescript + vite + element plus + vue-router-next + pinia,适配手机、平板、pc 的后台开源免费模板,希望减少工作量,帮助大家实现快速开发
密码学原理精解【9】
“数学如同音乐或诗一样显然地确实具有美学价值。” —— 雅可比
07-19 1438
设K是一个确定长度的随机二元密钥,用K来生成Nr个轮密钥(也叫子密钥)K1K2KNrK1K2...KNr,轮密钥的列表(K1K2KNrK1K2...KNr)就是密钥编排方案,该方案由K经过一个固定的、公开的算法生成。轮函数g由轮密钥K′和当前状态wr−1作为它的两个输入下一状态为wrgwr−1Kr轮函数g由轮密钥K'和当前状态w^{r-1}作为它的两个输入,\\下一状态为w^r=g(w^{r-1},K^r)
PHP小课堂】PHP中的数组函数学习(一)
硬核项目经理
07-22 781
PHP中的数组函数学习(一)数组操作可是 PHP 中的重头戏,重头到什么地步呢?别的语言可以说是面向对象、面向过程,PHP 则可以完全说是面向数组的一种语言。它的各种数据结构到最后都可以用数组来表示,这就是很恐怖的一件事。因为不管什么操作,我们都可以以数组的形式操作,这样的话,这些数组操作相关的函数就会显得异常的强大。当然,这也和语言的发展特性分不开。从最开始,PHP 就只是一个准备服务于个人的小...
RMI反序列化漏洞 修复
06-08
RMI反序列化漏洞是一种常见的Java Web应用程序漏洞,攻击者可以利用该漏洞在目标服务器上执行任意代码。该漏洞利用的核心是Java的反序列化机制,攻击者可以通过构造特定的序列化对象来触发漏洞。 要修复RMI反序列化...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值