反序列化 - 知白讲堂-学网络安全找知白

反序列化

序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化，类ObjectInputStream类的readObject()方法用于反序列化，将字符串对象先进行序列化，存储到本地文件，然后再通过反序列化进行恢复问题在于，如果Java应用对用户输入，即不可信数据做了反序列化处理，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，非预期的对象在产生过程中就有可能带来任意代码执行。

 1660

(1)

¥68.00 ~~¥68.00~~

加入收藏(0)

简介
课时（5）
评价（1）
咨询
学员

序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化，类ObjectInputStream类的readObject()方法用于反序列化，将字符串对象先进行序列化，存储到本地文件，然后再通过反序列化进行恢复

问题在于，如果Java应用对用户输入，即不可信数据做了反序列化处理，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，非预期的对象在产生过程中就有可能带来任意代码执行。

课时1
反序列化漏洞的原理及危害可试看
00:02:05
课时2
反序列化漏洞利用
00:03:40
课时3
反序列化漏洞防御方法
00:02:10
课时4
反序列化利用工具
00:05:01
课时5
反序列化漏洞实战
00:04:10

共有1个评论

加载更多

有任何开班、课程方面的疑问，可以立即咨询老师！留言咨询

加载更多

我要咨询

加载更多

你喜欢的课程

XXE(外部实体注入攻击)

 1068

 3773

 5.0评分

免费
XXE
文件包含

 1956

 2345

 0.0评分

¥98.00~~¥98.00~~
SSRF(服务端请求伪造)

 3156

 3149

 0.0评分

¥68.00~~¥68.00~~
SSRF

温志宇

6 在教 38 粉丝

高级培训讲师，具有丰富比赛支持经验、渗透测试经验，精通各类安全竞赛形式。近年来主要负责渗透攻防和ctf等信息安全竞赛培训和比赛支持工作。
温志宇

6 在教 38 粉丝

高级培训讲师，具有丰富比赛支持经验、渗透测试经验，精通各类安全竞赛形式。近年来主要负责渗透攻防和ctf等信息安全竞赛培训和比赛支持工作。

新入学员

马一鸣
倪振业
高超
小杨同志
孙鑫鑫
林聪
张星越
岳相军
宗帅
朱晖
孙雅蒙Lemon
彭鹏
苟开元
卫雨茹
胡正洋