java代码审计之反序列化（静态内部类）

最新推荐文章于 2025-05-16 15:23:00 发布

原创最新推荐文章于 2025-05-16 15:23:00 发布 · 1k 阅读

0 ·

CC 4.0 BY-SA版权

java代码审计专栏收录该内容

19 篇文章

订阅专栏

探讨了非静态内部类序列化的潜在问题，包括平台依赖性、敏感数据泄露风险及NotSerializableException异常。介绍了静态内部类序列化的正确用法，并提出了审计与修复策略。

对非静态内部类的序列化依赖编译器，且随着平台的不同而不同，容易产生错误。
对内部类的序列化会导致外部类的实例也被序列化。这样有可能泄露敏感数据。

public class DistributeData implements SerializedName{
public class CodeDetail {...}
}

CodeDetail 并不会被序列化。

public class DistributeData implements SerializedName{
public class CodeDetail implements SerializedName{...}
}

报NotSerializableException，查错误， CodeDetail 这个类虽然实现了 Serializable 接口，但
CodeDetail 在项目中是以内部类的形式定义的。

public class DistributeData implements SerializedName{
public static class CodeDetail implements SerializedName{...}
}

上面的这种形式可以被序列化但是容易造成敏感信息泄露。

审计策略

人工查找 implements Serializable 的所有内部类

修复方案

class ${InnerSer} {}
去除内部类的序列化。
static class ${InnerSer} implements Serializable {}
把内部类声明为静态从而被序列化。但是要注意遵循示例三中的敏感信息问题

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

hu4wufu

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Java代码审计之反序列化漏洞详解

悦分享

01-24

154

主要对Apache Commons Collections反序列化漏洞利用链进行分析学习，存在缺陷的版本是Apache Commons Collections 3.2.1以下。

【Java代码审计】反序列化漏洞篇

大河之犬的博客

03-25

1494

发送方必须将要发送的 Java 对象序列化为字节流，接收方则需要将字节流再反序列化，还原得到 Java 对象，才能实现正常通信。当攻击者输入精心构造的字节流被反序列化为恶意对象时，就会造成一系列的安全问题。在 Java 原生的API 中，序列化的过程由类的方法实现，反序列化过程由类的方法实现。将字节流还原成对象的过程都可以称作反序列化，例如，JSON 串或 XML 串还原成对象的过程也是反序列化的过程。同理，将对象转化成 JSON 串或 XML 串的过程也是序列化的过程。

参与评论您还未登录，请先登录后发表或查看评论

[转载]内部类反序列化问题(fastjson exception: create instance error)

weixin_30394633的博客

06-03

456

一、问题项目开发过程中遇到了JSON反序列化问题(JSONException: create instance error)，问题如下： com.alibaba.fastjson.JSONException: create instance error, class com.test.xiaofan.test.ClassA$ClassB 由问题可见，fastjson反序列化时尝试创建ClassA...

内部类反序列化问题(fastjson exception: create instance error)

热门推荐

xktxoo的博客

10-08

1万+

内部类反序列化问题(fastjson exception: create instance error)一、问题项目开发过程中遇到了JSON反序列化问题(JSONException: create instance error)，问题如下： com.alibaba.fastjson.JSONException: create instance error, class com.test.xiaofan.test.Cl

设计模式(七): 单例模式（懒汉、饿汉、静态内部类、双重检验锁、枚举、序列化反序列化、反射攻击、容器单例）

流的博客

10-17

430

1. 定义优点缺点特性：（1）私有构造函数（2）线程安全（3）延迟加载（4）序列化和反序列化 （5）反射攻击 2. 懒汉模式多线程创建：主函数直接调用开启线程调试：类型设置为Thread 开始调试： thread0 thread1 直接往下走，生成两个对象。 3. 双重检验锁 ...

内部类不能被序列化的原因

乔治大哥的博客

05-08

5693

内部类不能被序列化是因为内部类的实例化需要外部类的实例作为前提条件，而外部类的实例化又可能需要访问非序列化的成员变量或方法。因此，如果内部类实例被序列化，它的外部类状态可能会丢失或破坏，导致反序列化失败或产生错误的结果。此外，内部类可能包含对外部类实例的隐式引用，这会增加序列化和反序列化的复杂性和风险。如果内部类实例被序列化，它的外部类实例可能无法正确地反序列化，因为它依赖于非序列化的外部类状态。静态类可以被序列化，因为它们不包含对外部类实例的引用，并且可以独立于外部类进行序列化和反序列化。

java 静态 序列化_JAVA中序列化和反序列化中的静态成员问题

weixin_30184337的博客

02-16

576

关于这个标题的内容是面试笔试中比较常见的考题，大家跟随我的博客一起来学习下这个过程。? ? JAVA中的序列化和反序列化主要用于：(1)将对象或者异常等写入文件，通过文件交互传输信息；(2)将对象或者异常等通过网络进行传输。? ? 那么为什么需要序列化和反序列化呢？简单来说，如果你只是自己同一台机器的同一个环境下使用同一个JVM来操作，序列化和反序列化是没必要的，当需要进行数据传输的时候就显得十分...

Java安全—原生反序列化&重写方法&链条分析&触发类

2301_76227305的博客

11-27

1176

虽然今天的内容看起来有点复杂，但总结起来就一件事，想办法调用其它的readObject，而不是去调用原本的readObject。最后还是要声明一下，以上仅为个人的拙见，如何有不对的地方，欢迎各位师傅指正与补充，有兴趣的师傅可以一起交流学习。

Java 安全之反序列化漏洞 —— 所有 CC 链详细讲解（一）

最新发布

于高山之巅，方见大河奔涌；于群峰之上，更觉长风浩荡。

05-16

1821

Java 安全之反序列化漏洞 CC 链全解

【创宇小课堂】代码审计-反序列化CC链

cdyunaq的博客

03-11

3591

1、首先已知恶意接口类Transformer、查看他的实现类，使用Crtl+H 2、查看InvokerTransformer类，在该类发现到如下问题代码，反射调用传入的任意类方法，该方法源码如下所示。明显的反射调用，此时就需要定位该方法在那里被调用 3、查看到TransformedMap的三个方法transformKey、transformValue、checkSetValue三个函数进行了调用,但这三个方法是protected修饰的 4、到TransformedMap的构造函数，发现

java序列化 静态变量,静态类变量和序列化/反序列化

weixin_34954140的博客

02-24

202

From the SCJP 6 study guide - there is a question asking for the output of the following code regarding serialization:import java.io.*;public class TestClass {static public void main(String[] args) {S...

内部类序列化出错

huazi5dgan的专栏

10-26

3331

内部类序列化出错　　java对象传输很多需要先将对象序列化，当对内部类进行序列化的时候，程序运行会报异常：不能将没有实现序列化接口的Object序列化。　　怎么回事，这是一个很简单的内部类，的确已经实现了序列化接口了，其定义的成员都是可序列化的String类型;将其换成普通类没有问题。难道不能使用序列化的内部类?　　其实我们使用的内部类是嵌套类(nested class)的一种，而nested cl

java 静态内部类_java的内部类和静态内部类（嵌套类）

weixin_39920397的博客

02-12

285

背景开发新项目，写Swager的mode的时候用到了嵌套Model，于是在代码中，出现了静态内部类。在codeReview的时候稍微和大家聊了一下。尤其是Static 修饰类和修饰对象和变量不一样呢？定义1. 内部类可以将一个类的定义放在另一个类的定义内部，这就是内部类；嵌套类是其封闭类的成员。非静态嵌套类(内部类)可以访问封闭类的其他成员，即使它们被声明为私有的也是如此。静态嵌套类无权访问封闭类...

内部类的序列化问题;静态变量不能被序列化的问题

YanRu的专栏

07-15

7517

1.父类序列化，则非静态的内部类也要序列化，不然会报错。 2.父类序列化，静态内部类不序列化也可以，不会报错，但是数据会丢失。

Java中序列化与反序列化（五）——static字段

欧阳方超的专栏

06-18

903

在Java中，静态字段（static fields）是与类本身相关联的，而不是与类的任何特定实例相关联。这意味着静态字段在类加载时初始化，并且在整个应用程序的生命周期内保持一个唯一的副本。

实战|内部类导致反序列化抛出StackOverflowError异常

七塔之...

11-13

352

客户端发出请求，通过网关访问项目A的接口获取资源数据，访问超时，报504。

静态内部类实现单例_单例的线程安全及序列化问题

weixin_39632982的博客

12-08

382

单例模式可以说是最简单的设计模式了，但也有一些细节需要注意。本文从几个问题出发，分析一下单例模式的各种姿势，以便在今后使用时游刃有余，面试时从容不迫。饿汉方式到底有多饿？静态内部类为什么是延迟加载的？枚举方式单例是延迟加载的吗？饿汉、静态内部类、枚举方式单例为什么是线程安全的？序列化为什么会破坏单例模式？怎么防止序列化破坏单例模式？枚举方式单例是怎么避免序列化破坏的？饿汉方式先来看一下饿汉方式单例...

内部类不能序列化的原因

Sheendn的专栏

10-11

2844

android 编写两个Activity class Data implements Serializable{ /** * */ private static final long serialVersionUID = -6798751495700613794L; /** * */ private String name; private String brand;

java 泛型序列化_java基础之（注解，内部类，泛型，序列化，复制）集合

weixin_30295121的博客

02-12

607

一.JAVA 注解1. 概念Annotation(注解)是 Java 提供的一种对元程序中元素关联信息和元数据(metadata)的途径和方法。Annatation(注解)是一个接口，程序可以通过反射来获取指定程序中元素的 Annotation对象，然后通过该 Annotation 对象来获取注解中的元数据信息。2. 4 种标准元注解元注解的作用是负责注解其他注解。 Java5.0 定义了 4 个...

代码审计反序列化工具

01-24

### 代码审计中的反序列化漏洞检测工具 #### 静态分析工具静态分析工具可以在不运行程序的情况下扫描源码，查找可能存在的反序列化漏洞。 - **FindBugs/SpotBugs** FindBugs及其后续版本SpotBugs是一款流行的Java静态分析工具。该工具能识别多种类型的编程错误，其中包括可能导致反序列化的危险模式[^1]。 - **SonarQube** SonarQube是一个用于持续监测代码质量的平台，支持多语言开发环境下的代码审查工作。对于Java应用程序而言，其内置插件可有效定位存在风险的对象流操作，从而辅助开发者预防因不当处理而引发的安全隐患[^2]。 #### 动态分析工具动态分析工具则侧重于实际执行过程中捕捉异常行为，适用于更深入的功能验证阶段。 - **GadgetInspector** GadgetInspector由OWASP社区维护，专为评估Java应用内的潜在反序列化攻击路径设计。此工具允许用户加载目标JAR文件集，并自动解析其中定义的所有类成员关系图谱；一旦发现可疑链条，则会立即发出警告提示[^3]。 - ** ysoserial** `ysoserial` 是一款著名的开源框架，专门用来生成可用于测试目的的有效载荷(Payload)，以模拟真实的恶意企图场景。尽管本身并不直接充当检测手段，但在配合其他调试设施时却显得尤为有用——比如结合Burp Suite代理服务器截获HTTP请求包后植入自定义命令行指令等动作前后的变化情况对比研究[^4]。 ```bash java -jar ysoserial.jar CommonsCollections1 "touch /tmp/poc" | base64 - ``` 上述命令展示了如何利用 `ysoserial` 创建一个简单的POC (Proof Of Concept) 来触发表面无害的操作系统调用事件作为示范用途。