序列化和反序列化 序列化 对象序列化,就是将对象保存到磁盘中,或者在网络中传输对象。这种机制就是使用一个字节序列表示一个对象,该字节序列包含:对象的类型、对象的数据和对象中存储的属性等信息。字节序列写到文件之后,相当于文件中保存了一个对象的信息。 反序列化 将该字节序列从文件中读取回来,重构对象 J ...
分类:
编程语言 时间:
2021-06-03 18:28:27
阅读次数:
0
最近想着分析jackson,jackson和fastjson有点相似,浅蓝大神的文章很好,个人受益匪浅 昨天简单说了下jackson的用法,现在继续拓扑,补充前置知识,前置知识补充的足够多,那么漏洞分析也不是难事了: 昨天忘了说的一个jackson知识点就是序列化和反序列化的时候,setName和g ...
分类:
其他好文 时间:
2021-06-02 19:53:55
阅读次数:
0
0x01: 一、什么是序列化与反序列化? Java序列化是指把 Java 对象转换为字节序列的过程; Java反序列化是指把字节序列恢复为 Java 对象的过程; 漏洞挖掘位置:白盒(以实际情况做参考) 0x02: 一个类的对象要想序列化成功,必须满足两个条件: 1:该类必须实现 java.io.S ...
分类:
其他好文 时间:
2021-06-02 18:43:15
阅读次数:
0
使用new直接创建 使用java反射创建 调用clone()方法,进行实例的拷贝 通过反序列化类获取 使用new直接创建 使用java反射创建 调用clone()方法,进行实例的拷贝 通过反序列化类获取 ...
分类:
编程语言 时间:
2021-05-24 15:30:51
阅读次数:
0
深入理解RPC—序列化 xiaofang233 2020-09-18 16:38:22 1024 收藏 6分类专栏: 分布式服务版权为什么需要序列化?首先,我们得知道什么是序列化与反序列化。 我们先回顾下RPC通信的流程: 网络传输的数据必须是二进制数据,但调用方请求的出入参数都是对象。对象是不能直 ...
分类:
其他好文 时间:
2021-05-24 14:07:01
阅读次数:
0
https://blog.csdn.net/meifannao789456/article/details/96828656 版权fastjson默认在序列化时是按照字段的字母顺序进行序列化的,这样序列化出来的Json数据中字段的顺序就与类中定义的字段顺序不一致了。默认按字母排序序列化的速度会快一些 ...
分类:
Web程序 时间:
2021-05-24 09:34:18
阅读次数:
0
Joomla 3.4.5 反序列化漏洞(CVE-2015-8562) 本漏洞根源是PHP5.6.13前的版本在读取存储好的session时,如果反序列化出错则会跳过当前一段数据而去反序列化下一段数据。而Joomla将session存储在Mysql数据库中,编码是utf8,当我们插入4字节的utf8数 ...
分类:
其他好文 时间:
2021-05-24 04:14:30
阅读次数:
0
常见的Json转换工具有google的gson和阿里的fastgson。目前主流策略:POJO序列化成JSON字符串用Gson库,JSON字符串反序列化为POJO,用fastJson库。 Netty中JSON编码和解码原理 JSON格式仅仅是字符串的一种组织形式。所以,传输JSON的所用到的协议与传 ...
分类:
Web程序 时间:
2021-05-24 01:16:00
阅读次数:
0
1.XMLDecoder 反序列化漏洞 cve-2017-10271/3506 影响版本10.3.6.0, 12.1.3.0, 12.2.1.0, 12.2.1.1 , 12.2.1.2 受影响url ,在这个配置里面: C:\Oracle\Middleware\user_projects\doma ...
分类:
Web程序 时间:
2021-05-03 12:59:59
阅读次数:
0
序列化:把python中的对象转成json格式字符串 反序列化:把json格式字符串转成python中的对象 drf的序列化组件(序列化器):把对象转成字典。因为有字典,直接丢到Response中就可以了 序列化器的使用 1 写一个序列化的类,继承Serializer 2 在类中写要序列化的字段 f ...
分类:
其他好文 时间:
2021-04-30 12:36:16
阅读次数:
0