标签: Java反序列化

5 篇文章

Java 安全-JNDI注入学习
背景知识 JNDI Service Provider JNDI 与 JNDI Service Provider 的关系类似于 Windows 中 SSPI 与 SSP 的关系。前者是统一抽象出来的接口,而后者是对接口的具体实现。如默认的 JNDI Service Provider 有 RMI/LDAP 等等。 ObjectFactory 每一个 S…
Java 安全-RMI学习总结
概念 在Java反序列化漏洞有着一些老生常谈的名词理解 COBAR (Common ObjectRequest Broker Architecture)公共对象请求代理体系结构,名字很长,定义的一个结构(规定语言在使用这个结构时候分哪几个部分,因为我们后面的序列化过程都是按照这个结构来的) 这个结构当然是抽象的,后面在具体代码实现上才会呈现这个结构…
Apache Shiro Java 反序列化漏洞分析
Shiro概述 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。目前在Java web应用安全框架中,最热门的产品有Spring Security和Shiro,二者在核心功能上几乎差不多,但Shiro更加轻量级,使用简单、上手更快、学习成本低,所以Shiro的使用量一直高于Spring Securit…
Commons Collections利用链
Commons Collections 背景介绍 Apache Commons是Apache软件基金会的项目,曾经隶属于Jakarta项目。Commons的目的是提供可重用的、解决各种实际的通用问题且开源的Java代码。Commons由三部分组成:Proper(是一些已发布的项目)、Sandbox(是一些正在开发的项目)和Dormant(是一些刚启…
Java反序列化
Java序列化 序列化的主要分为两个部分: 序列化是这个过程的第一部分,将数据分解成字节流,以便存储在文件中或在网络上传输。 反序列化就是打开字节流并重构对象。 Java序列化是指把Java对象转换为字节序列的过程 Java反序列化是指把字节序列恢复为Java对象的过程。 几种常见的序列化和反序列化协议 XML&SOAP XML 是一种常用…