Java 反序列化

已于 2025-05-11 20:18:02 修改
阅读量895 收藏 15
点赞数 23
CC 4.0 BY-SA版权
分类专栏: 网络安全 文章标签: java 网络安全
于 2025-05-03 23:55:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45626840/article/details/147659015

文章目录

1. 序列化与反序列化

面向对象的世界中,数据封装为类的属性,对数据进行处理的算法或者说逻辑封装为类的方法,程序的结构就是对象的调用。我们面向对象开发,当然希望对象可以复用,所以需要传输或存储对象。
在这里插入图片描述

程序运行后是存放在内存中的,我们在源代码中new Student("mingsec",7),这个类及对象是JVM在负责管理,其在内存中的物理结构可能是散乱在各个物理地址空间的01比特流,也可能是一段连续的地址空间。JVM抽象了底层的一切,使Java程序员可以以“面向对象”这种逻辑视图进行程序开发。

要想将内存中的一个对象发送给另一台机器上的JVM进程使用,就需要足够的信息:

  • 对象的类型(是什么类)
  • 对象的状态(属性的值)
  • 附加信息

那么,我们就需要定义一个数据格式,规定提取出来的对象数据是怎样组织的。与之相对应我们需要两个程序:

  • 读取类元数据、内存中的对象状态等信息,输出一个规范格式字节流/字符流(序列化)
  • 读取一个规范格式的字节流/字符流,解析输出一个对象(反序列化)

这是一个很自然而然的过程。我们在本地创建对象,首先需要有一个类,然后通过new关键字调用构造方法给对象赋值。将一个对象序列化,就需要告诉对方类名以及属性的值,对方就可以通过读取类名加载类并创建对象,读取属性值并给创建的对象赋值。

2. Java原生序列化与反序列化

学习过PHP的应该知道,PHP中的序列化是将对象组织为一个字符流,即一个字符串。在Java原生提供的序列化中,输出的是一个字节流,即一个byte[]数组或者二进制数据文件。

关于Java中序列化的格式规范,官方文档给出了详细说明,也在相应的类中定义了格式标记位。想要深入了解规范,追着AI问或者自行阅读官方文档。

Java中的对象想要支持序列化,其类需要实现Serialiable接口。这个接口只起到标记作用,告诉JVM该类的对象是可序列化的。实现序列化和反序列化的功能分别由java.base模块(jdk9+)里的java.io包下的ObjectOutputStreamwriteObject()方法和ObjectInputStreamreadObject()方法提供,下图给出一个序列化的demo.
在这里插入图片描述

Java序列化的数据以标记AC ED 00 05开头,base64编码的特征为rO0AB。我们看一下官方文档协议格式定义给的类源码:
在这里插入图片描述

2.1 Java原生方法调用链

  1. 序列化主要方法调用链(Java 层面 → JVM 本地方法):
ObjectOutputStream.writeObject(Object obj)writeObject0(Object obj, boolean unshared)writeOrdinaryObject(Object obj, ObjectStreamClass desc, boolean unshared)writeSerialData(Object obj, ObjectStreamClass desc)DataOutputStream.writeInt(int val)JVM_WriteInt (C/C++ 实现) // 本地方法写入基本类型
  1. 反序列化主要方法调用链(Java 层面 → JVM 本地方法):
ObjectInputStream.readObject()readObject0(boolean unshared)readOrdinaryObject(boolean unshared)ObjectStreamClass.newInstance()JVM_NewInstanceFromConstructor (C/C++ 实现) // 本地方法创建对象readSerialData(Object obj, ObjectStreamClass desc)Field.set(Object obj, Object value)JVM_SetField (C/C++ 实现) // 本地方法设置字段值

2.2 自定义writeObject()和readObject()

Java支持在类中自定义 readObjectwriteObject,允许开发者细粒度控制序列化和反序列化过程。

为什么自定义的 readObject() 或writeObject() 方法会被调用?

  1. Java 序列化机制的约定
    Java 的序列化机制在反序列化时,会检查目标类是否定义了以下方法:
private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException

如果该方法存在,Java 会通过反射机制调用该方法,而不是使用默认的反序列化逻辑。这是 Java 序列化机制的一个约定,用于支持类级别的自定义反序列化逻辑。

  1. 反射机制的调用
    Java 的 ObjectInputStream 在反序列化一个对象时,会执行以下步骤:
    • 检查目标类是否有自定义的 readObject() 方法。
    • 如果有,通过反射调用该方法。
    • 如果没有,则使用默认的反序列化逻辑(即逐个读取字段值并赋值给对象)。

这种机制是通过 ObjectStreamClass 类实现的。ObjectStreamClass 会缓存类的序列化方法信息,并在反序列化时调用相应的 invokeReadObject() 方法。

3. 参考

[1] Java序列化格式详解
[2] 官方文档:Java Object Serialization Specification
[3] Java安全小白的入门心得 - java反序列化
[4] 通义qwen3
[5] deepseek

Java 反序列化(一)必备基础知识
Vicl1fe的博客
12-08 619
java反序列香草
09-06
jboss、weblogic等反序列化漏洞图形化工具。 jboss、weblogic等反序列化漏洞图形化工具。
java反序列
ing_end的博客
09-03 371
java
Java 序列化与反序列化机制及自定义序列化实现
最新发布
lssffy的博客
06-30 793
定义接口提供完全控制序列化过程。实现// 忽略敏感字段public Order() {} // 必须提供无参构造器@Override@Override优点完全控制字段序列化。性能高(无反射)。缺点需手动实现所有字段。维护复杂。定义:在类中定义特定方法,控制序列化。实现// 默认序列化非 transient 字段// 附加数据// 默认反序列化// 读取附加数据优点灵活,结合默认序列化。维护简单。缺点仍依赖反射,性能略低于。
java反序列_Java反序列化
weixin_39751453的博客
02-21 129
import java.io.Serializable;import java.io.FileInputStream;import java.io.IOException;import java.io.ObjectInputStream;public class Java_ObjIptSamFun {public static void main(String[] args) {try{FileI...
秒懂Java序列化与反序列化
ShuSheng007的程序人生
06-09 6617
版权申明】非商业目的可自由转载 博文地址: 出自:shusheng007 概述 什么是序列化?什么是反序列化?为什么需要序列化?如何序列化?应该注意什么?本文将从这几方面来论述。 定义 什么是序列化?什么是反序列化? 序列化: 把Java对象转换为字节序列的过程。 反序列化:把字节序列恢复为Java对象的过程。 作用 为什么需要序列化? 在...
java反序列化利用程序UI版Beta1.1.rar
07-20
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于将对象的状态转换为字节流,以便可以存储或在网络上传输。而反序列化则将这个字节...
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
java反序列化利用程序UI版Beta1.1.zip
11-24
Java反序列化是一种将已序列化的对象状态转换回对象的过程,通常用于持久化数据或在网络间传输对象。然而,这个过程也可能带来安全风险,因为恶意用户可以构造特殊的序列化数据来执行任意代码,这就是所谓的Java反序...
Java反序列化工具.zip
05-31
Java反序列化是一种将之前序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方法。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络传输中将对象从一个系统传输到另一个...
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec.<Marshaller> [-a] [-v] [-t] [<gadget_type> []] 参数说明: -a:生成exploit下的所有payload(例如:hessian下的...
Java 序列化和反序列化
qq_33807380的博客
03-10 1228
可以通过实现 readObject 方法来自定义反序列化过程。例如,可以在反序列化时对字段进行额外的验证或初始化。// 不会被默认序列化// 自定义反序列化逻辑// 默认反序列化// 手动反序列化 age// 自定义序列化逻辑// 默认序列化// 手动序列化 age@Override// 序列化// 反序列化
Java—序列化与反序列化
m0_54049074的博客
01-30 1546
1、序列化和反序列化的定义:(1)Java序列化就是指把Java对象转换为字节序列的过程Java反序列化就是指把字节序列恢复为Java对象的过程。(2)序列化最重要的作用:在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。反序列化的最重要的作用:根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。总结:核心作用就是对象状态的保存和重建。
java序列化和反序列化详解
2401_83707780的博客
04-11 2667
如果默认的序列化机制不符合需求,可以通过实现和方法来自定义序列化和反序列化的行为。Java序列化是一个复杂但强大的机制,允许开发者轻松地持久化和传输对象。虽然它对于简单的用途来说可能显得有些重,但它提供了一种标准方式来处理对象的深复制,以及对象状态的保存和恢复。正确使用Java序列化需要对其工作原理有深入的理解,尤其是在涉及版本控制和自定义序列化行为时。
java中的序列化(Serializable)和反序列化
jason_279的专栏
10-27 1万+
JAVA序列化与反序列化就是JAVA对象与一串字节流之间的相互转换, 我们在程序中创建的JAVA对象只存在于JVM中, 当程序退出时, 这些对象也就消失了, 而序列化正是为了将这些对象保存起来以仅将来使用, 也可以将已经序列化的对象传送给其他JVM来使用, 这些序列化的字节流是于JVM无关的, 也就是说一个JVM序列化的对象可以在另一个JVM中反序列化. 使用JAVA提供的序列化机制
Java 基础篇】Java序列化与反序列化详解
繁依Fanyi的博客
06-26 6932
本文详细介绍了Java序列化和反序列化的原理、使用方法和常见应用场景。通过实现接口,可以实现对象的序列化和反序列化。序列化和反序列化是一种重要的机制,可以实现对象的持久化存储、网络传输和缓存等功能。希望本文对你理解和应用Java序列化与反序列化有所帮助!
Java常见序列化与反序列方法总结
Jacob
08-27 1811
人和电脑在很多方面都是十分相似的,大脑可以看成电脑主机,五官/身体等表面器官就是显示器、鼠标等外设。这篇文章就是想把计算机跟人做类比YY一下序列化和反序列化的机制、用途。       如果你是初学者,心里肯定会问究竟什么是序列化/反序列化?其实我现在正在序列化而你正在反序列化:我在写这篇博客的时候就是把大脑中的想法和思想经过梳理写成连续的文字,这就是序列化,而你在读这篇博客的时候把这些整理过的文
Java序列化和反序列化(详解)
热门推荐
qq_62414755的博客
07-20 3万+
java序列化及可序列化讲解,代码清晰易懂。
java反序列化
05-31
Java反序列化是将序列化后的字节数据还原成Java对象的过程。序列化是将Java对象转换为二进制数据以便于在网络上传输或保存在本地磁盘中,反序列化则是将这些二进制数据还原成Java对象,以便于在程序中进行使用。 反序列化可以通过Java的ObjectInputStream类来实现,它提供了readObject()方法来读取序列化后的字节数据,并将其还原成Java对象。例如,以下代码可以将一个byte数组反序列化成一个对象: ```java ObjectInputStream in = new ObjectInputStream(new ByteArrayInputStream(byteArray)); Object obj = in.readObject(); ``` 在反序列化过程中,需要注意以下几点: 1. 反序列化过程中,如果读取的字节数据中包含了恶意代码,可能会导致程序被攻击。因此,反序列化需要谨慎处理,不要从不可信的源读取序列化数据。 2. 反序列化过程中,需要保证读取的字节数据与序列化时的对象类型一致,否则会抛出ClassCastException异常。 3. 反序列化后的对象需要进行类型检查,以确保其类型安全。例如,可以使用instanceof关键字来判断反序列化后的对象是否是期望的类型。 总的来说,反序列化Java中一个重要的概念,可以方便地将Java对象序列化后在网络上传输或保存在本地磁盘中,然后再反序列化还原成Java对象进行使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值