java 为什么序列化不安全？Java反序列化安全漏洞怎么回事

老铁们，大家好，相信还有很多朋友对于java 为什么序列化不安全和Java反序列化安全漏洞怎么回事的相关问题不太懂，没关系，今天就由我来为大家分享分享java 为什么序列化不安全以及Java反序列化安全漏洞怎么回事的问题，文章篇幅可能偏长，希望可以帮助到大家，下面一起来看看吧！

java 中的序列化是什么意思有什么好处

1、序列化是干什么的？

简单说就是为了保存在内存中的各种对象的状态，并且可以把保存的对象状态再读出来。虽然你可以用你自己的各种各样的方法来保存Object States，但是Java给你提供一种应该比你自己好的保存对象状态的机制,那就是序列化。

2、什么情况下需要序列化

a）当你想把的内存中的对象保存到一个文件中或者数据库中时候；

b）当你想用套接字在网络上传送对象的时候；

c）当你想通过RMI传输对象的时候；

3、当对一个对象实现序列化时，究竟发生了什么？

在没有序列化前，每个保存在堆（Heap）中的对象都有相应的状态（state），即实例变量（instance ariable）比如：

Foo myFoo= new Foo();

myFoo.setWidth(37);

myFoo.setHeight(70);

当通过下面的代码序列化之后，MyFoo对象中的width和Height实例变量的值（37，70）都被保存到foo.ser文件中，这样以后又可以把它从文件中读出来，重新在堆中创建原来的对象。当然保存时候不仅仅是保存对象的实例变量的值，JVM还要保存一些小量信息，比如类的类型等以便恢复原来的对象。

FileOutputStream fs= new FileOutputStream("foo.ser");

ObjectOutputStream os= new ObjectOutputStream(fs);

os.writeObject(myFoo);

4、实现序列化（保存到一个文件）的步骤

a）Make a FileOutputStream

java代码

FileOutputStream fs= new FileOutputStream("foo.ser");

b）Make a ObjectOutputStream

java代码

ObjectOutputStream os= new ObjectOutputStream(fs);

c）write the object

java代码

os.writeObject(myObject1);

os.writeObject(myObject2);

os.writeObject(myObject3);

d) close the ObjectOutputStream

java代码

os.close();

5、举例说明

java代码

import java.io.*;

public class Box implements Serializable

{

private int width;

private int height;

public void setWidth(int width){

this.width= width;

}

public void setHeight(int height){

this.height= height;

}

public static void main(String[] args){

Box myBox= new Box();

myBox.setWidth(50);

myBox.setHeight(30);

try{

FileOutputStream fs= new FileOutputStream("foo.ser");

ObjectOutputStream os= new ObjectOutputStream(fs);

os.writeObject(myBox);

os.close();

}catch(Exception ex){

ex.printStackTrace();

}

}

}

6、相关注意事项

a）当一个父类实现序列化，子类自动实现序列化，不需要显式实现Serializable接口；

b）当一个对象的实例变量引用其他对象，序列化该对象时也把引用对象进行序列化；

c）并非所有的对象都可以序列化，,至于为什么不可以，有很多原因了,比如：

1.安全方面的原因，比如一个对象拥有private，public等field，对于一个要传输的对象，比如写到文件，或者进行rmi传输等等，在序列化进行传输的过程中，这个对象的private等域是不受保护的。

2.资源分配方面的原因，比如socket，thread类，如果可以序列化，进行传输或者保存，也无法对他们进行重新的资源分配，而且，也是没有必要这样实现。

怎样做才能让Java 序列化机制 更安全

Java序列化 serialization主要职责就是将一个对象的状态转化为一个字节序列，以方便对象的持久化或网络传输。反序列化的过程正好相反。开发人员所要做的只是实现Serializable接口，然后调用ObjectOutputStream/ObjectInputStream的WriteObject/ReadObject方法即可，其他的工作 JVM会自动帮你做了。

那通过实现Serializable接口所获取的序列化能力是否有安全隐患？由于这些字节序列已经脱离了Java的安全体系存在于磁盘或网络上，我们能否对序列化后的字节序列进行查看和修改，甚至于注入恶意病毒呢？ Java反序列化机制是否又会对建立的对象进行验证以确保它的安全性、准确性呢？如果你想到这些问题，那恐怕答案会让你失望了。Java序列化后的字节序列基本都是明文存在的，而且字节序列的组成有很明确的文档进行说明，你可以试着用一些十六进制的文本编辑工具，如Hexeditor查看一下对象序列化后的内容，你都能看到很多私有变量的实际赋值。关于字节序列的说明，可参考对象序列化流协议,这里就不多说了。这篇文章的重点是说一些Java提供的安全机制，通过这些机制，我们能够提升序列化/反序列化的安全指数。

Java反序列化安全漏洞怎么回事

反序列化顾名思义就是用二进制的形式来生成文件，由于common-collections.jar几乎在所有项目里都会被用到，所以当这个漏洞被发现并在这个jar包内实现攻击时，几乎影响了一大批的项目，weblogic的中枪立刻提升了这个漏洞的等级（对weblogic不熟悉的可以百度）。

至于如何使用这个漏洞对系统发起攻击，举一个简单的例子，我通过本地java程序将一个带有后门漏洞的jsp（一般来说这个jsp里的代码会是文件上传和网页版的SHELL）序列化，将序列化后的二进制流发送给有这个漏洞的服务器，服务器会自动根据流反序列化的结果生成文件，然后就可以大摇大摆的直接访问这个生成的JSP文件把服务器当后花园了。

如果Java应用对用户输入，即不可信数据做了反序列化处理，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，非预期的对象在产生过程中就有可能带来任意代码执行。

所以这个问题的根源在于类ObjectInputStream在反序列化时，没有对生成的对象的类型做限制；假若反序列化可以设置Java类型的白名单，那么问题的影响就小了很多。

java序列化的优点和缺点是什么

序列化就是将一个对象的状态（各个属性量）保存起来，然后在适当的时候再获得。序列化分为两大部分：序列化和反序列化。序列化是这个过程的第一部分，将数据分解成字节流，以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对象。对象序列化不仅要将基本数据类型转换成字节表示，有时还要恢复数据。恢复数据要求有恢复数据的对象实例如果某个类能够被序列化，其子类也可以被序列化。声明为static和transient类型的成员数据不能被序列化。因为static代表类的状态， transient代表对象的临时数据。一：对象序列化可以实现分布式对象。主要应用例如：RMI要利用对象序列化运行远程主机上的服务，就像在本地机上运行对象时一样。二：java对象序列化不仅保留一个对象的数据，而且递归保存对象引用的每个对象的数据。可以将整个对象层次写入字节流中，可以保存在文件中或在网络连接上传递。利用对象序列化可以进行对象的"深复制"，即复制对象本身及引用的对象本身。序列化一个对象可能得到整个对象序列。所谓优缺点就是该使用的时候就是优点，不该使用而是用就是缺点

好了，文章到这里就结束啦，如果本次分享的java 为什么序列化不安全和Java反序列化安全漏洞怎么回事问题对您有所帮助，还望关注下本站哦！