JAVA反序列化怎么理解
JAVA反序列化怎么理解
发布时间:2021-11-24 14:03:08 来源:高防服务器网 阅读:60 作者:iii 栏目:网络管理
这篇文章主要讲解了“JAVA反序列化怎么理解”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“JAVA反序列化怎么理解”吧!
反序列化三个主要部分
反序列化RCE分为三个部分,载体、执行函数、回显。载体包括协议、加解密算法等等。执行函数则是通过载体后的反序列化函数。回显则分为显式回显和隐式回显,显式回显例如Webshell、HTTP response body、图片隐写,隐式回显例如RMI、URLDNS等等。
如何去学习
在了解基本构成之后,按照顺序找相关的部分,然后拼起来即可。
载体:
载体普遍存在一些大型JAVA项目之中,例如Apache Software Foundation的一堆。
执行函数:
在执行函数阶段,反序列普遍使用ObjectInputStream,当然如果你看到名字不同,可能是经过封装和继承。
FileInputStream fis = new FileInputStream("object"); ObjectInputStream ois = new ObjectInputStream(fis);
显示回显:
1、文件写入 2、HTTP response body 3、延迟 4、HTTP banner 5、图片隐写 ...
隐式回显:
1、RMI 2、URLDNS 3、LADP 4、JNDI ...
感谢各位的阅读,以上就是“JAVA反序列化怎么理解”的内容了,经过本文的学习后,相信大家对JAVA反序列化怎么理解这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是高防服务器网,小编将为大家推送更多相关知识点的文章,欢迎关注!
[微信提示:高防服务器能助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。
[图文来源于网络,不代表本站立场,如有侵权,请联系高防服务器网删除]
[