Hessian#UnsafeDeserializer对象反序化后初始化的问题

最新推荐文章于 2024-03-11 17:49:04 发布
最新推荐文章于 2024-03-11 17:49:04 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: 20011_Java 2001_编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ybygjy/article/details/52076874
版权

Hessian#UnsafeDeserializer对象反序化后初始化的问题

场景

交易系统各子服务分批上线时出现交易失败的报警,log日志发现服务通信实例的Map类型的成员变量未被正确初始化NullpointerException异常,因为多个服务系统间使用hessian通信,各系统使用的业务数据对象版本不一致(如A服务版本是1.0.1调用B服务1.0.5版本)新添加的变量没有初始化,进而影响了业务服务。

原因分析

1.UnsafeDeSerializer使用Unsafe#allocateInstance创建一个类的实例,Unsafe的这个方法不会调用类实例的构造函数、初始化代码段。

计算机生成了可选文字:protected Object instantiate() throws Exception

2.UnsafeDeserializer使用远程传递的实例变量值对创建的实例对象进行赋值

计算机生成了可选文字:public Object readMap(AbstractHessianInput in, thro"S IOException try { int ref — in.addRef(obj); "hi le in. isEnd()) { Object key — in. readObject(); Object obi) FieldDeseriauzer deser — (FieldDeseriauzer) if (deser null) deser . deserialize(in, obi); else in . readObject() ; in . readMapEnd() ; Object resolve — resolve(in, obi); if (obj ! — resolve) in. setRef(ref, resolve); return resolve; } catch (IOException e) { throw e; } catch (Exception e) { thro" nevi IOExceptionWrapper(e); _fieIdMap . get(key) ;

3.FieldDeserializer使用sun.misc.Unsafe#pubObject负责对对象实例成员变量进行赋值。

计算机生成了可选文字:void deseriaIize(AbstractHessianInput in, Object obi) throws IOException Object value — null ; try { value — in. .getType()); _offset, value); } catch (Exception e) { ZogDeseriaZ obi, value, e);

 

对象版本不一致的情况一些成员变量在低版本没有定义,调用服务时传递过来的值对象不包含这个成员变量,所以赋值的时候也会跳过。最终这个新版本成员变量未初始化、未被赋值,业务应用场景如果没处理这种情况就会出现NullpointerException异常。

 

解决办法

1.覆盖readResolve让通信对象自己来进行初始化、对特定数据变量进行较验。

2.业务服务层解决,繁琐影响面太多,不规范。

一步一个脚印
关注
专栏目录
Hessian 2.0序列化协议规范.docx
09-14
Hessian 2.0序列化协议规范》 在分布式计算和网络通信中,数据的序列化和反序列化是至关重要的环节。Hessian 2.0是一种高效的二进制序列化协议,它旨在减少网络传输的数据量,提高数据交换的效率。本文将详细介绍...
【序列化】UNSAFE_DESERIALIZATION 不安全的反序列化和反序列化漏洞
m0_45406092的博客
08-21 6941
Unsafe Deserialization 进行代码检查时,Coverity工具在进行json转换时,报Unsafe Deserialization错误,字面意思是不安全的反序列化,根本原因就是反序列化会有漏洞导致的。 看完下文反序列化漏洞的原理后,我们就知道该如何解决这个问题了。 反序列化漏洞 ...
java代码审计手书(四)
一个码农的笔记
11-29 7995
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 外部文件访问(Android) 漏洞特征:ANDROID_EXTERNAL_FILE_ACCESS 应用经常往外部存储上写数据(可能是SD卡),这个操作可能会有多个安全问题。首先应用可以可以通过READ_EXTERNAL_STORAGE 获取SD卡上存储的文件。而且如果数据中包含用户的敏感信息的话...
QTabWidget的样式
子建莫敌
11-30 3476
Tab标签所在行的样式 QTabWidget::tab-bar { alignment:left; top:3px; left:5px; right:5px; } 设置QTabWidget 的Tab标签下面窗格的样式 QTabWidget#tabwidget_DevMang::pane { border-top: 3px solid black; border-...
常见fortify漏洞与整改规则
chastera的博客
04-07 3007
网页劫持:除了利用一个易受攻击的应用程序向用户传输恶意内容,还可以利用相同的根漏洞,将服务器生成的供用户使用的敏感内容重定向,转而供攻击者使用。攻击者通过提交一个会导致两个响应的请求,即服务器做出的预期响应和攻击者创建的响应,致使某个中间节点(如共享的代理服务器)误导服务器所生成的响应,将本来应传送给用户的响应错误地传给攻击者。这时,攻击者将第二个请求发送给服务器,代理服务器利用针对受害者(用户)的、由该服务器产生的这一请求对服务器做出响应,因此,针对受害者的这一响应中会包含所有头文件或正文中的敏感信息。
【Web】浅聊Java反序列化之玩转Hessian反序列化的前置知识
uuzeray的博客
03-11 1533
当其Hessian反序列化Map类型的对象的时候,会自动调用其put方法,而put方法又会牵引出各种相关利用链打法。
Dynamic Code Evaluation:Unsafe Deserialization 动态代码评估:不安全反序列化
Dearzh的博客
11-15 542
Abstract: 在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致 Denial of Service。 Explanation: Java 序列化会将对象图转换为字节流(包含对象本身和必要的元数据),以便通过字节流进行重构。开发人员可以创建自定义代码,以协助 Java 对象反序列化过程,在此期间,他们甚至可以使用其他对象或代理替代反...
浅谈Java序列化和hessian序列化的差异
08-29
Java序列化和Hessian序列化是两种常用的序列化机制,它们都可以将对象转换为字节流,以便在网络上传输。但是,两者之间有着很大的差异,今天我们就来比较一下它们的实现机制和特点。 Java序列化 Java序列化是Java...
基于Hessian核范数正则化的快速图像复原算法
03-24
利用Hessian核范数进行图像复原是目前较好的高阶正则化方法,但是由于Hessian核范数正则项的高度非线性和不可微性,图像去模糊和去噪过程耦合度高,求解算法的复杂度高.本文利用变量分裂设计了一种具有闭解形式的交替...
Nacos JRaft Hessian 反序列化 RCE 分析.pdf
最新发布
04-22
- 初始化 `CliService` 和 `CliClientService`,并刷新路由表以确保与正确的 `PeerId` 进行通信。 2. **构造恶意数据包**: - 构建一个包含恶意 Java 对象的 `WriteRequest` 实例。 - 使用 Hessian 将该实例序列...
[旧文系列] NSA emissary多个漏洞分析复现和CodeQL实践
mole_exp的博客
01-17 559
文章目录关于<旧文系列>0x00 前言0x01 漏洞分析和复现Reflected cross-site scripting (CVE-2021-32092)Arbitrary File Disclosure (CVE-2021-32093)Code Injection (CVE-2021-32096)Unsafe deserialization (CVE-2021-32634)Server-side request forgery (CVE-2021-32639)SSRF-1、接口 /Regis
java hessian序列化与反序列化_JAVA基础4---序列化和反序列化深入整理(Hessian序列化)...
weixin_29268267的博客
02-19 1258
一、Hessian序列化用法1、maven依赖com.cauchohessian4.0.382、序列化和反序列化1 /**Hessian序列化*/2 public static byte[] hessianSerialize(Object object){3 Hessian2Output oo = null;4 byte[] result = null;5 ...
Javaweb安全——Dubbo 反序列化(一)
weixin_43610673的博客
02-13 1548
Apache Dubbo 是一款 RPC 服务开发框架。智能容错和负载均衡,以及服务自动注册和发现。
调用dubbo接口报错:com.caucho.hessian.io.HessianProtocolException: unknown code for readObject at 0x3c (<)
懵懂无知的蜗牛的博客
01-18 1万+
1.问题现象 今天在调用自己写的的dubbo接口时报错,报错具体堆栈信息如下: com.caucho.hessian.client.HessianRuntimeException: com.caucho.hessian.io.HessianFieldException: com.tuan.core.common.template.CallResult.resultObject: unknown
JAVA反序列化安全
c0c0cf的专栏
09-15 6208
微信公众号:DebugPwn 新浪微博: http://weibo.com/u/2275304001/home?wvr=5 漏洞简介: 反序列化漏洞有十年的历史,存在于不同的编程语言中,最为明显的当属Java、PHP、Python、Ruby。漏洞的本质就是反序列化机制打破了数据和对象的边界,导致攻击者注入的恶意序列化数据在反序列化过程中被还原成对象
InsecureDeserialization(不安全的反序列化)
打代码的小女孩
12-23 2517
什么是反序列化? 有些时候我们需要把应用程序中的数据以另一种形式进行表达,以便于将数据存储起来,并在未来某个时间点再次使用,或者便于通过网络传输给接收方。这一过程我们把它叫做序列化。典型的例子是,用户数据被序列化后存储到数据库中,另一个例子是在Stateless架构下,用户登陆后的身份数据被序列化存储到了浏览器中。 反序列化和序列化是两个正好相反的过程。当我们要再次使用这些数据的时候,应用程序读...
Fortify扫描漏洞解决方案
热门推荐
一杯咖啡的渗透记忆
03-23 1万+
Fortify扫描漏洞解决方案: Log Forging漏洞: 1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。 2. 数据写入到应用程序或系统日志文件中。这种情况下,数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要...
Fortify代码扫描解决方案
weixin_34072159的博客
08-24 5712
Fortify扫描漏洞解决方案: Log Forging漏洞: 1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。2. 数据写入到应用程序或系统日志文件中。这种情况下,数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要时...
hessian反序列化漏洞
01-06
在应对Hessian反序列化漏洞时,开发团队应该及时更新相关的安全补丁,对可能存在漏洞的系统进行全面审查,修复潜在的安全问题,同时也应做好监控和日志记录工作,及时发现并应对可能的攻击行为。保护系统安全需要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值