Hessian#UnsafeDeserializer对象反序化后初始化的问题

最新推荐文章于 2023-02-13 23:22:28 发布
最新推荐文章于 2023-02-13 23:22:28 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: 20011_Java 2001_编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ybygjy/article/details/52076874
版权

Hessian#UnsafeDeserializer对象反序化后初始化的问题

场景

交易系统各子服务分批上线时出现交易失败的报警,log日志发现服务通信实例的Map类型的成员变量未被正确初始化NullpointerException异常,因为多个服务系统间使用hessian通信,各系统使用的业务数据对象版本不一致(如A服务版本是1.0.1调用B服务1.0.5版本)新添加的变量没有初始化,进而影响了业务服务。

原因分析

1.UnsafeDeSerializer使用Unsafe#allocateInstance创建一个类的实例,Unsafe的这个方法不会调用类实例的构造函数、初始化代码段。

计算机生成了可选文字:protected Object instantiate() throws Exception

2.UnsafeDeserializer使用远程传递的实例变量值对创建的实例对象进行赋值

计算机生成了可选文字:public Object readMap(AbstractHessianInput in, thro"S IOException try { int ref — in.addRef(obj); "hi le in. isEnd()) { Object key — in. readObject(); Object obi) FieldDeseriauzer deser — (FieldDeseriauzer) if (deser null) deser . deserialize(in, obi); else in . readObject() ; in . readMapEnd() ; Object resolve — resolve(in, obi); if (obj ! — resolve) in. setRef(ref, resolve); return resolve; } catch (IOException e) { throw e; } catch (Exception e) { thro" nevi IOExceptionWrapper(e); _fieIdMap . get(key) ;

3.FieldDeserializer使用sun.misc.Unsafe#pubObject负责对对象实例成员变量进行赋值。

计算机生成了可选文字:void deseriaIize(AbstractHessianInput in, Object obi) throws IOException Object value — null ; try { value — in. .getType()); _offset, value); } catch (Exception e) { ZogDeseriaZ obi, value, e);

 

对象版本不一致的情况一些成员变量在低版本没有定义,调用服务时传递过来的值对象不包含这个成员变量,所以赋值的时候也会跳过。最终这个新版本成员变量未初始化、未被赋值,业务应用场景如果没处理这种情况就会出现NullpointerException异常。

 

解决办法

1.覆盖readResolve让通信对象自己来进行初始化、对特定数据变量进行较验。

2.业务服务层解决,繁琐影响面太多,不规范。

一步一个脚印
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
InsecureDeserialization(不安全的反序列化)
打代码的小女孩
12-23 2438
什么是反序列化? 有些时候我们需要把应用程序中的数据以另一种形式进行表达,以便于将数据存储起来,并在未来某个时间点再次使用,或者便于通过网络传输给接收方。这一过程我们把它叫做序列化。典型的例子是,用户数据被序列化后存储到数据库中,另一个例子是在Stateless架构下,用户登陆后的身份数据被序列化存储到了浏览器中。 反序列化和序列化是两个正好相反的过程。当我们要再次使用这些数据的时候,应用程序读...
QTabWidget的样式
子建莫敌
11-30 3345
Tab标签所在行的样式 QTabWidget::tab-bar { alignment:left; top:3px; left:5px; right:5px; } 设置QTabWidget 的Tab标签下面窗格的样式 QTabWidget#tabwidget_DevMang::pane { border-top: 3px solid black; border-...
【序列化】UNSAFE_DESERIALIZATION 不安全的反序列化和反序列化漏洞
m0_45406092的博客
08-21 6567
Unsafe Deserialization 进行代码检查时,Coverity工具在进行json转换时,报Unsafe Deserialization错误,字面意思是不安全的反序列化,根本原因就是反序列化会有漏洞导致的。 看完下文反序列化漏洞的原理后,我们就知道该如何解决这个问题了。 反序列化漏洞 ...
再谈Unsafe
【欢迎关注公众号:冬瓜白】
10-23 312
我们都知道Atomic包里的类基本都是使用Unsafe实现的包装类。而Unsafe类本质就是通过内存偏移量来调整字段的状态,就像setter方法一样,看一个最常见的例子:AtomicInteger: 可以看到调用Unsafe类获取了valueOffset,这个valueOffset就是value这个属性的偏移量。 这里说个题外话,其实在AtomicIntegral中有这样一个set方法: ...
java代码审计手书(四)
一个码农的笔记
11-29 7823
翻译自:http://find-sec-bugs.github.io/bugs.htm 翻译:聂心明 外部文件访问(Android) 漏洞特征:ANDROID_EXTERNAL_FILE_ACCESS 应用经常往外部存储上写数据(可能是SD卡),这个操作可能会有多个安全问题。首先应用可以可以通过READ_EXTERNAL_STORAGE 获取SD卡上存储的文件。而且如果数据中包含用户的敏感信息的话...
Hessian 2.0序列化协议规范.docx
09-14
Hessian 2.0序列化协议规范》 在分布式计算和网络通信中,数据的序列化和反序列化是至关重要的环节。Hessian 2.0是一种高效的二进制序列化协议,它旨在减少网络传输的数据量,提高数据交换的效率。本文将详细介绍...
浅谈Java序列化和hessian序列化的差异
08-29
Java序列化和Hessian序列化是两种常用的序列化机制,它们都可以将对象转换为字节流,以便在网络上传输。但是,两者之间有着很大的差异,今天我们就来比较一下它们的实现机制和特点。 Java序列化 Java序列化是Java...
基于Hessian矩阵范数正则化方法的共聚焦图像复原
05-06
对于泊松噪声污染下的模糊共聚焦图像复原问题,为解决传统方法中存在的阶梯效应,提出了一种基于Hessian矩阵范数的正则化方法.在泊松概率模型的基础上,该方法引入Hessian矩阵范数作为正则条件,并应用交替方向乘子...
基于Hessian核范数正则化的快速图像复原算法
03-24
利用Hessian核范数进行图像复原是目前较好的高阶正则化方法,但是由于Hessian核范数正则项的高度非线性和不可微性,图像去模糊和去噪过程耦合度高,求解算法的复杂度高.本文利用变量分裂设计了一种具有闭解形式的交替...
S25-hessian反序列化1
08-03
在使用Hessian时,需要注意其安全问题,因为不正确的序列化处理可能导致潜在的安全风险,例如远程代码执行(RCE)漏洞。因此,在实际开发中,应确保了解并正确使用Hessian,以防止潜在的安全隐患。
java hessian序列化与反序列化_JAVA基础4---序列化和反序列化深入整理(Hessian序列化)...
weixin_29268267的博客
02-19 1167
一、Hessian序列化用法1、maven依赖com.cauchohessian4.0.382、序列化和反序列化1 /**Hessian序列化*/2 public static byte[] hessianSerialize(Object object){3 Hessian2Output oo = null;4 byte[] result = null;5 ...
Javaweb安全——Dubbo 反序列化(一)
weixin_43610673的博客
02-13 1365
Apache Dubbo 是一款 RPC 服务开发框架。智能容错和负载均衡,以及服务自动注册和发现。
Fortify代码扫描解决方案
weixin_34072159的博客
08-24 5569
Fortify扫描漏洞解决方案: Log Forging漏洞: 1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。2. 数据写入到应用程序或系统日志文件中。这种情况下,数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要时...
简记:com.alibaba.dubbo.remoting.RemotingException: Fail to decode request due to: RpcInvocation
热门推荐
zhanlanmg的专栏
04-05 2万+
dubbo中默认使用的是hessian的序列化,当使用spring-data-commons的pageable时,会在反序列化时出错,出错原因是由于hessian会先生成一个参数为0的类,再去设置类的值,然而,AbstractPageRequest中的构造函数对参数进行了限制,参数小于1的时候直接thrown异常,所以导致反序列化出错。这就是原因。所以要么自己定义。要么自己定义。
Hessian序列化对象之BasicSerializer(五)
Mr孔先森
07-26 1133
在静态初始化块中调用静态方法addBasic()来初始化对应关系,addBasic代码如下,类的基本名称和序列化对象的关系被放到了_staticSerializerMap中(注意调用int的getName方法的返回值为int,而调用Integer方法的返回值为java.lang.Integer,这两者是不一样的),而_staticDeserializerMap和_staticClassNameMap是反序列化相关的, 后面博客讲到反序列化时再详细说明
C# 通过hessian调Java注意事项
chuangxin的专栏
03-29 5240
       照理说C#可以通过标准的web服务可以轻松地调用Java,但是鉴于hessian的高性能及开发效率,个人认为C#通过hessian调用java是很值得提倡的。之前完成的一个比较大型的企业应用项目就是采用C#作为winform客户端应用通过hessian调用java来实现的,事实证明hessian的响应、效率还都不错,开发效率也挺高。       总结之前的项目经验,个人觉得C#通
记录使用dubbo,遇到的hessian序列化告警
默默前行,勿喜、勿悲、一切随缘!
09-26 4646
WARN com.alibaba.com.caucho.hessian.io.SerializerFactory -Hessian/Burlap: 'com.qxz.third.model.dtk.DtkSuperCategoryResponse$SubCategory' is an unknown class in sun.misc.Launcher$AppClassLoader@681a9515: java.lang.ClassNotFoundException:com.qxz.third.mod
hessian timestamp date 设置空(null)导致出现的 bug
Steven King
07-11 2403
单独使用timestamp没什么问题,但是在类中如果用timestamp,如果是null,就会出空指针错误。看代码发现在UnsafeDeserializer.java文件中的720行开始      try {        java.util.Date date = (java.
fastjson深度源码解析- 反序列化(二) - 内部注册反序列化解析
商宗海的博客
03-15 3451
反序列化回调接口实现分析 内部注册的反序列化 fastjson针对常用的类型已经注册了反序列化实现方案,根据源代码注册com.alibaba.fastjson.parser.ParserConfig#initDeserializers可以得到列表: 注册的类型 反序列化实例 是否支持序列化 是否支持反序列化 SimpleDateFormat MiscC...
hessian反序列化漏洞
最新发布
01-06
在应对Hessian反序列化漏洞时,开发团队应该及时更新相关的安全补丁,对可能存在漏洞的系统进行全面审查,修复潜在的安全问题,同时也应做好监控和日志记录工作,及时发现并应对可能的攻击行为。保护系统安全需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值