JAVA反序列化怎么理解

JAVA反序列化怎么理解

这篇文章主要讲解了“JAVA反序列化怎么理解”，文中的讲解内容简单清晰，易于学习与理解，下面请大家跟着小编的思路慢慢深入，一起来研究和学习“JAVA反序列化怎么理解”吧！

反序列化三个主要部分

反序列化RCE分为三个部分，载体、执行函数、回显。载体包括协议、加解密算法等等。执行函数则是通过载体后的反序列化函数。回显则分为显式回显和隐式回显，显式回显例如Webshell、HTTP response body、图片隐写，隐式回显例如RMI、URLDNS等等。

如何去学习

在了解基本构成之后，按照顺序找相关的部分，然后拼起来即可。
载体：
载体普遍存在一些大型JAVA项目之中，例如Apache Software Foundation的一堆。

执行函数：
在执行函数阶段，反序列普遍使用ObjectInputStream，当然如果你看到名字不同，可能是经过封装和继承。

FileInputStream fis = new FileInputStream("object");  ObjectInputStream ois = new ObjectInputStream(fis);

显示回显：

1、文件写入  2、HTTP response body  3、延迟  4、HTTP banner  5、图片隐写  ...

隐式回显：

1、RMI  2、URLDNS  3、LADP  4、JNDI  ...

感谢各位的阅读，以上就是“JAVA反序列化怎么理解”的内容了，经过本文的学习后，相信大家对JAVA反序列化怎么理解这一问题有了更深刻的体会，具体使用情况还需要大家实践验证。这里是高防服务器网，小编将为大家推送更多相关知识点的文章，欢迎关注！

[微信提示：高防服务器能助您降低 IT 成本，提升运维效率，使您更专注于核心业务创新。

[图文来源于网络，不代表本站立场，如有侵权，请联系高防服务器网删除]
[