java反序列化简介
来源:互联网 发布:用c语言编写韩信点兵 编辑:程序博客网 时间:2024/05/22 05:15
序列化就是把对象转换成字节流便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。Java中的ObjectOutputStrram类的WriteObjrct()可以实现序列化,类ObjectInputStream类的readObject()方法用于反序列化。下面是将字符串对象先进行序列化,存储到本地文件,然后再通过反序列化进行恢复的样例代码:
public static void main(String args[]) throws Exception { String obj = "hello world!"; // 将序列化对象写入文件object.db中 FileOutputStream fos = new FileOutputStream("object.db"); ObjectOutputStream os = new ObjectOutputStream(fos); os.writeObject(obj); os.close(); // 从文件object.db中读取数据 FileInputStream fis = new FileInputStream("object.db"); ObjectInputStream ois = new ObjectInputStream(fis); // 通过反序列化恢复对象obj String obj2 = (String)ois.readObject(); ois.close();}
问题在于,如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。
所以这个问题的根源在于类ObjectInputStream在反序列化时,没有对生成的对象的类型做限制;假若反序列化可以设置Java类型的白名单,那么问题的影响就小了很多。
反序列化问题由来已久,且并非Java语言特有,在其他语言例如PHP和Python中也有相似的问题。@gebl和@frohoff的报告中所指出的并不是反序列化这个问题,而是一些公用库,例如Apache Commons Collections中实现的一些类可以被反序列化用来实现任意代码执行。WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些应用的反序列化漏洞能够得以利用,就是依靠了Apache Commons Collections。这种库的存在极大地提升了反序列化问题的严重程度,可以比作在开启了ASLR地址随机化防御的系统中,出现了一个加载地址固定的共享库
0 0
- java反序列化简介
- JAVA 序列号 反序列化
- JAVA 反序列化攻击
- JAVA 反序列化攻击
- Java 反序列化攻击
- JAVA反序列化漏洞
- JAVA反序列化安全
- Java的反序列化
- java 反序列化 泛型
- Java json反序列化
- java序列化与反序列化
- Java序列化和反序列化
- java序列化与反序列化
- JAVA序列化及反序列化
- java序列化与反序列化
- java序列化与反序列化
- java 序列化 和反序列化
- Java序列化与反序列化
- spring(15)------spring的事务处理
- vC++ 调字体大小
- Android API Guides---App Manifest <grant-uri-permission> <instrumentation> <intent-filter>
- 登录框和操作步骤插件(大神出品)
- 苹果开发者账号类型以及区别
- java反序列化简介
- C/C++编程规范
- HDU1425 <sort 快排>
- 汇编冒泡排序
- 读数序列: 1,11,21,1211,111221,312211
- U3D DrawCall优化手记
- android java socket实现邮件发送(smtp)
- 词袋模型BoW图像检索Python实战
- 背包问题(贪心法)