高防服务器

JAVA反序列化怎么理解


JAVA反序列化怎么理解

发布时间:2021-11-24 14:03:08 来源:高防服务器网 阅读:60 作者:iii 栏目:网络管理

这篇文章主要讲解了“JAVA反序列化怎么理解”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“JAVA反序列化怎么理解”吧!

反序列化三个主要部分

反序列化RCE分为三个部分,载体、执行函数、回显。载体包括协议、加解密算法等等。执行函数则是通过载体后的反序列化函数。回显则分为显式回显和隐式回显,显式回显例如Webshell、HTTP response body、图片隐写,隐式回显例如RMI、URLDNS等等。

如何去学习

在了解基本构成之后,按照顺序找相关的部分,然后拼起来即可。
载体:
载体普遍存在一些大型JAVA项目之中,例如Apache Software Foundation的一堆。

执行函数:
在执行函数阶段,反序列普遍使用ObjectInputStream,当然如果你看到名字不同,可能是经过封装和继承。

FileInputStream fis = new FileInputStream("object");  ObjectInputStream ois = new ObjectInputStream(fis);

显示回显:

1、文件写入  2、HTTP response body  3、延迟  4、HTTP banner  5、图片隐写  ...

隐式回显:

1、RMI  2、URLDNS  3、LADP  4、JNDI  ...

感谢各位的阅读,以上就是“JAVA反序列化怎么理解”的内容了,经过本文的学习后,相信大家对JAVA反序列化怎么理解这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是高防服务器网,小编将为大家推送更多相关知识点的文章,欢迎关注!

[微信提示:高防服务器能助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。

[图文来源于网络,不代表本站立场,如有侵权,请联系高防服务器网删除]
[