Java 反序列化分析从入门到放弃(一)

最新推荐文章于 2024-12-16 21:46:17 发布
最新推荐文章于 2024-12-16 21:46:17 发布
阅读量557 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: Java 反序列化 文章标签: java 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38963246/article/details/115104547

基础知识学习

       学习反序列化之前需要了解一些基础知识。
在这里插入图片描述

一、序列化和反序列化

       Java 序列化是指把 Java 对象转换为字节序列的过程;Java 反序列化是指把字节序列恢复为 Java 对象的过程。对象序列化是对象持久化的一种实现方法,它是将对象的属性和方法转化为一种序列化的形式用于存储传输。反序列化就是根据这些保存的信息重建对象的过程。
可以参考:https://xz.aliyun.com/t/6787
为了方便理解,我对在同一个默认包下,存在的User类和Serialize_test_1类的代码进行了注释:

User 类:

import java.io.Serializable;


public class User implements Serializable {
   
   
		//定义类的私有属性name
        private String name;
        //定义setName方法
        public void setName(String name) {
   
   
        	//当前类User的name等于setName传递进来的name
        	this.name = name;
        }
        //定义getName方法,返回name值
        public String getName() {
   
   
        	return name;
        }

}

Serialize_test_1 类::

import java.io.*;

public class Serialize_test_1 {
   
   
	//序列化,返回值为字节类型,输入值为对象Object
	public static byte[] serialize(final Object obj) throws Exception {
   
   
		//创建字节数组输出流实例 btout,将所有发送到输出流的数据保存在该字节数组缓冲区中, 个人理解就是读数据并放入缓存区,读的数据以字节类型的数组保存在缓冲区
		ByteArrayOutputStream btout = new ByteArrayOutputStream();
		//创建objOut 对象输出流实例,也是类似以上的读数据,不过操作的是对象流,不是字节流,序列化对项的类,使其变得可以传输,操作
		ObjectOutputStream objOut = new ObjectOutputStream(btout);
		//调用对象输出为流的对象方法
		objOut.writeObject(obj);
		return btout.toByteArray();
	}
	//反序列化,返回值类型为对象类型,输入为字节类型
	public static Object unserialize(final byte[] serialized) throws Exception {
   
   
		ByteArrayInputStream btin = new ByteArrayInputStream(serialized);
		ObjectInputStream objIn = new ObjectInputStream(btin);
		return objIn.readObject();
	}
	public static void main(String[] args) throws Exception {
   
   
		//实例化对象user,并设置其私有变量name值为posty
		User user = new User();
		user.setName("posty");
		//序列化对象
		byte[] serializeData = serialize(user);
		//文件流,创建文件user.bin并写序列化后的数据
		FileOutputStream fout = new FileOutputStream("user.bin");
		fout.write(serializeData);
		fout.close();
		// (User)表示把反序列化后的对象转为User对象,并赋值给已经声明为User类的变量user2
		User user2 = (User) unserialize(serializeData);
		//调用User的getName方法
		System.out.print(user2.getName());
	}
	
}

二、Java 方法重写

       在Java中,如果在⼦类中有和⽗类同名的⽅法,则通过⼦类实例去调⽤⽅法时,会调⽤ ⼦类的⽅法⽽不是⽗类的⽅法,这个特点称之为⽅法的重写(

最低0.47元/天 解锁文章

200万优质内容无限畅学
Java 反序列化分析入门放弃(二)
痴人说梦梦中人
03-23 396
CommonsCollections3.1 反序列化利用链分析、环境配置1、 配置运行环境2、 导入依赖包3、 关联源文件二、代码分析1、InvokerTransformer2、Transformer3、TransformedMap4、AbstractInputCheckedMapDecorator5、AnnotationInvocationHandler 基础知识参考: Java 反序列化分析入门放弃、环境配置       &n
java反序列化入门_Java序列化与反序列化入门理解
weixin_36290719的博客
03-08 134
、序列化与反序列化的概念以及使用场景1、概念a)序列化:将对象转换成字节序列的过程;b)反序列化:将字节序列恢复成对象的过程。2、使用场景1) 把对象的字节序列永久地保存到硬盘上,通常存放在个文件中;2) 在网络上传送对象的字节序列。二、结合例子说明进行序列化的对象,需要实现Serializable接口,否则将无法序列化。序列化采用ObjectOutputStream的writeObject方...
java反序列化入门_Java安全之反序列化)--基础篇
weixin_42393272的博客
02-27 486
接下来执行序列化操作操作,将对象写入文件:packagefanxuliehua;importjava.io.FileOutputStream;importjava.io.IOException;importjava.io.ObjectOutputStream;importjava.lang.reflect.Constructor;importjava.lang.reflect.Field;impo...
深入分析Java的序列化与反序列化 ():序列化与反序列化
myllxy
09-17 232
什么是序列化与反序列化Java平台允许我们在内存中创建可复用的Java对象,但般情况下,只有当JVM处于运行时,这些对象才可能存在,即,这些对象的生命周期不会比JVM的生命周期更长。但在现实应用中,就可能要求在JVM停止运行之后能够保存(持久化)指定的对象,并在将来重新读取被保存的对象。Java对象序列化就能够帮助我们实现该功能。 使用Java对象序列化,在保存对象时,会把其状态保存为组...
[Java安全]Java动态加载字节码
cosmoslin的博客
04-07 841
什么是java字节码 严格来说,Java字节码(ByteCode)其实仅仅指的是Java虚拟机执行使用的类指令,通常被存储在.class文件中。 这里所有能够恢复成个类并在JVM虚拟机里加载的字节序列,都在我们的探讨范围内。 利用URLClassLoader加载远程class文件 这个很基础,直接上代码: 先编写evil.java并编译为class文件,python开个http服务 import java.io.IOException; public class evil { publi
Java入门放弃 之 应用反射实现简单的序列化与反序列化
最新发布
Snow的博客
12-16 504
上面,我们写了个简单的序列化与反序列化的案例,让我们体会到反射技术的强大。很明显,通过使用反射,我们的代码会具有更大的灵活性。但是需要注意的是,上面这个简答的序列化与反序列化只是个让我们体会反射技术的案例,实际上要实现个序列化与反序列化的通用方法要考虑很多安全性,性能与兼容性的处理。
Java Web从入门到实战
m0_67393342的博客
07-30 2773
操作系统:管理计算机硬件与软件资源的计算机程序,同时也是计算机系统的内核与基石。主流操作系统Linux发展历程Linux特点Linux与其它操作系统的区别Linux发行商和常见发行版先安装虚拟机,再安装CentosVmware简介Vmware下载:https://www.vmware.com/cn.htmlCentOS镜像下载:https://www.centos.org/download/ 高速下载地址简介:SecureCRT是款支持SSH(SSH1和SSH2)的终端仿真程序,简单地说是Windows下
Java入门放弃 之 关键字】
Snow的博客
12-05 1319
byte大小:8位(1字节)范围:-128 到 127用途:适合存储小整数值。默认值:0short大小:16位(2字节)范围:-32,768 到 32,767用途:适合存储较小的整数值。默认值:0int大小:32位(4字节)范围:-2³¹ (-2,147,483,648) 到 2³¹-1 (2,147,483,647)用途:最常用的整数类型。默认值:0long大小:64位(8字节)
序列化和反序列化、编译和反编译以及两者区别
weixin_43836337的博客
04-03 590
序列化是指将对象转换为字节序列的过程,以便于存储或传输。在序列化过程中,对象的状态信息将被转换为字节流,可以保存到文件中或通过网络传输给其他计算机。反序列化则是将字节序列恢复为对象的过程。
Java集合体系
Hello World!
07-29 5019
集合与数组的区别(1)长度区别集合长度可变,数组长度不可变(2)内容区别集合可存储不同类型元素,数组存储只可单类型元素(3)元素区别集合只能存储引用类型元素,数组可存储引用类型,也可存储基本类型Java集合类可以用于存储数量不等的多个对象,还可用于保存具有映射关系的关联数组。在这里主要讲些我们平常很常用的些接口和些实现类。Java集合可分为Collection和Map两种体系Collection接口单列数据,定义了存取组对象的方法的集合Map接口。.........
Java反序列化—Fastjson基础
..
01-06 7997
最近摆烂了很久,来学习下fastjson Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库,用于将数据在 JSON 和 Java Object 之间互相转换。提供两个主要接口来分别实现序列化和反序列化操作。JSON.toJSONString 将 Java 对象转换为 json 对象,序列化的过程。JSON.parseObject/JSON.parse 将 json 对象重新变回 Java 对象;反序列化的过程所以可以简单的把 json 理解成是个字符串。
Java反序列化基础入门
永远都没有了
03-28 935
Java反序列化入门笔记
Java中的序列化与反序列化深度剖析
weixin_53840353的博客
08-26 1416
序列化(Serialization):将Java对象转换为字节流的过程,以便将其写入文件、发送到网络等。反序列化(Deserialization):将字节流转换回Java对象的过程,以便在内存中重建对象。序列化与反序列化Java开发中的重要技术,了解不同序列化框架的特点及其适用场景,可以帮助我们做出更明智的技术选择。希望这篇博客能帮助你深入理解Java中的序列化机制,并在实际项目中灵活应用。
JAVA反序列化漏洞简单理解
秋水的博客
09-26 3994
反序列化原理 关于反序列化的原理不在多说,和php类似,序列化的数据是方便存储的,而存储的状态信息想要再次调用就需要反序列化 Java反序列化的API实现 实现方法 Java.io.ObjectOutputStream java.io.ObjectInputStream 序列化: ObjectOutputStream类 -->writeObject() 注:...
java继承hashmap的序列化问题
weixin_42587475的博客
08-19 2841
在springcloud微服务调用返回数据时,出现获取数据为null的情况: 开始我是用R继承hashmap然后定义个私有属性data,没想到出错了,因为序列化过程中会忽略掉类的私有属性(继承hashmap的类),因此在反序列过程中会吧data的值丢失。 public class R<T> extends HashMap<String,T> { private T data; public void setData(T data){ this.da
教妹学Java:判断对象的类型,instanceof关键字
沉默王二
06-05 3118
instanceof instanceof 操作符的用法其实很简单: (object) instanceof (type) 用意也非常简单,判断对象是否符合指定的类型,结果要么是 true,要么是 false。在反序列化的时候,instanceof 操作符还是蛮常用的,因为这时候我们不太确定对象属不属于指定的类型,如果不进行判断的话,就容易抛出 ClassCastException 异常。 我们来建这样个简单的类 Round: class Round { } 然后新增个扩展类 Ring: class
Java反序列化漏洞从入门到深入(转载)
07-21 1097
前言 学习本系列文章需要的Java基础: 了解Java基础语法及结构(菜鸟教程) 了解Java面向对象编程思想(快速理解请上知乎读故事,深入钻研建议买本《疯狂Java讲义》另外有个刘意老师的教学视频也可以了解下,其中关于面向对象思想的介绍比较详细。链接:https://pan.baidu.com/s/1kUGb3D1#list/path=%2F&pare...
java protobuf extend_c++ java中关于protobuf反序列化对象实体和实体处理(函数)关系(二)...
weixin_42502089的博客
02-24 212
篇中大概描述了c++ java中关于protobuf反序列化对象实体和实体处理(函数)关系,并贴出了java的实现方案,针对c++版本也只是简单的描述了下 采用std::bind().这里采用 id+ 指针,通过ID索引到指针,利用多态性来处理。由于c++ 不像java可以有反射,所以这里实例化引用直接用静态的指针。交给编译器处理 在静态的区来开辟储存。大概实现如下:基类,所有的处理函数c...
java 序列化之当序列化遭遇继承,组合,对象引用
xiaomin1991222的专栏
03-10 1081
public class Serial extends SerializableEr implements Serializable{ private static final Logger LOG = Logger.getLogger(Serial.class); int id; String name; private static final Test test
C#与Java序列化反序列化机制对比分析
C#和Java作为两种主流的编程语言,它们都提供了强大的序列化反序列化机制,下面将详细介绍这两个平台在序列化反序列化方面的相关知识点。 ### C#中的序列化与反序列化 在C#中,序列化主要通过.NET Framework的...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值