溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章主要講解了“JAVA反序列化怎么理解”,文中的講解內容簡單清晰,易于學習與理解,下面請大家跟著小編的思路慢慢深入,一起來研究和學習“JAVA反序列化怎么理解”吧!
反序列化RCE分為三個部分,載體、執行函數、回顯。載體包括協議、加解密算法等等。執行函數則是通過載體后的反序列化函數。回顯則分為顯式回顯和隱式回顯,顯式回顯例如Webshell、HTTP response body、圖片隱寫,隱式回顯例如RMI、URLDNS等等。
在了解基本構成之后,按照順序找相關的部分,然后拼起來即可。
載體:
載體普遍存在一些大型JAVA項目之中,例如Apache Software Foundation的一堆。
執行函數:
在執行函數階段,反序列普遍使用ObjectInputStream,當然如果你看到名字不同,可能是經過封裝和繼承。
FileInputStream fis = new FileInputStream("object");
ObjectInputStream ois = new ObjectInputStream(fis);顯示回顯:
1、文件寫入 2、HTTP response body 3、延遲 4、HTTP banner 5、圖片隱寫 ...
隱式回顯:
1、RMI 2、URLDNS 3、LADP 4、JNDI ...
感謝各位的閱讀,以上就是“JAVA反序列化怎么理解”的內容了,經過本文的學習后,相信大家對JAVA反序列化怎么理解這一問題有了更深刻的體會,具體使用情況還需要大家實踐驗證。這里是億速云,小編將為大家推送更多相關知識點的文章,歡迎關注!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
