序列化与反序列化
Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。
为什么需要序列化?
序列化分为两大部分:序列化和反序列化。序列化是这个过程的第一部分,将数据分解成字节流,以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对象。对象序列化不仅要将基本数据类型转换成字节表示,有时还要恢复数据。恢复数据要求有恢复数据的对象实例。
序列化为什么会产生安全问题?
只要服务端反序列化数据,客户端传递类的readObject中代码会自动执行,给予攻击者在服务器上运行代码的能力。
Java序列化基本流程
有如下三个文件,Person.java:
import java.io.Serializable;public class Person implements Serializable { // 需要实现Serializable接口才可以序列化 private String name; private int age; public Person(){ } public Person(String name, int age) { this.name = name; this.age = age; } @Override public String toString() { return "Person{" + "name='" + name + '\'' + ",age=" + age + '}'; }}
序列化操作,SerializationTest.java:
import java.io.FileOutputStream;import java.io.IOException;import java.io.ObjectOutputStream;public class SerializationTest { public static void serialize(Object obj) throws IOException { ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin")); oos.writeObject(obj); } public static void main(String[] args) throws Exception{ Person person = new Person("a", 18); serialize(person); }}
反序列化操作,UnserializeTest.java:
import java.io.FileInputStream;import java.io.IOException;import java.io.ObjectInputStream;public class UnserializeTest { public static Object unserialize(String Filename) throws IOException, ClassNotFoundException { ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename)); Object obj = ois.readObject(); return obj; } public static void main(String[] args) throws Exception { Person person = (Person) unserialize("ser.bin"); System.out.println(person); }}
SerializationTest中首先生成一个person对象,然后将生成的person对象进行序列化操作,得到二进制文件ser.bin,接着在UnserializeTest中实现反序列化操作得到person对象,并打印出来:
Person{name='a',age=18}
注意:
- (1)想要序列化的对象需要实现Serializable接口才可以序列化。
- (2)使用transient标识的对象不参与序列化。
在Person类中,name属性之前加上transient,改为private transient String name;
之后再次尝试序列化和反序列化,输出结果:Person{name='null',age=18}
。 - (3)静态成员变量不能被序列化,因为序列化是针对对象的,而静态成员变量属于类。
可能存在反序列化漏洞的形式
- (1)入口类的readObject直接调用危险方法。
Person类文件中重写了readObject方法,在readObject方法中执行命令:
package org.example;import java.io.IOException;import java.io.ObjectInputStream;import java.io.Serializable;public class Person implements Serializable { private transient String name; private int age; public Person(){ } public Person(String name, int age) { this.name = name; this.age = age; } @Override public String toString() { return "Person{" + "name='" + name + '\'' + ",age=" + age + '}'; } private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException { ois.defaultReadObject(); Runtime.getRuntime().exec("calc"); }}
再次执行SerializationTest和UnserializeTest实现序列化和反序列化,在反序列化时会调用重写的readObject,从而执行其中的命令,弹出计算器:
(2)入口类参数中包含可控类,该类有危险方法,readObject时调用。
要实现反序列化攻击,入口类最好是继承Serializable,重写readObject,调用常见函数,参数类型宽泛,jdk自带,比如HashMap:(3)入口类中包含可控类,该类又调用其他有危险的方法的类,readObject时调用。
(4)构造函数/静态代码块等类加载时隐式执行。
参考链接
[1] https://www.bilibili.com/video/BV16h411z7o9