首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

修而复:说说WebLogic那修不完的Java反序列化漏洞

编者说明:这篇文章初稿写在Oracle CPU补丁发布之后,考虑到文章内容的影响,并未在当时发布,WebLogic 的 Java 反序列化漏洞,已经修复了多次,最终的修复仍然彻底解决问题。...通过该漏洞,攻击者可以在授权的情况下远程执行任意代码。 ps....Oracle发布的多个WebLogic反序列化漏洞补丁反复被绕过,这都源于Oracle当年修复CVE-2015-4852那个轰动一时的Java反序列化漏洞时采用的黑名单方式。 ?...-3248 CVE-2018-2628 从2015年一直修到2018年,反复修,反复被绕过,基于t3协议的Java反序列化漏洞还在继续。...基于wls-wsat服务组件的引起远程代码执行的反序列化漏洞: CVE-2017-3506 CVE-2017-10271 2018年1月1日-3日大面积爆发的基于CVE-2017-10271的Java反序列化漏洞植入门罗币挖矿程序攻击的事件被大家所熟知

1.4K60

JQ中serialize表单序列化,当radio或checkbox 选中时,问题分析&解决方案

相信很多人都用过jq的表单序列化serialize()方法,因为这能很方便地帮你把表单里所有的非禁用输入控件序列化为 key/value 对象,不需要你再去一个个地拼接参数了。...就是当radio或checkbox 选中时,没有序列化到对象中。 什么原因呢?...我们可以看到我们调用的serialize(),其实是走的param()方法,这个方法查阅jq手册即可得知,其作用是将数组或对象序列化为一个 key/value 对象。...那么自然当radio或checkbox 选中时,这边的数组长度是为0的,所以这里就把radio或checkbox给漏掉了。 那么怎么解决呢?直接改源码?这也太粗暴了吧。...ghostsf心血来潮写了一个jq拓展,代码如下:(并不要脸地命名为ghostsf_serialize): //为jquery.serializeArray()解决radio,checkbox选中时没有序列化的问题

2.2K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    CA2311:在先设置 NetDataContractSerializer.Binder 的情况下,请不要反序列化

    规则说明 反序列化不受信任的数据时,不安全的反序列化程序易受攻击。 攻击者可能会修改序列化数据,使其包含非预期类型,进而注入具有不良副作用的对象。...例如,针对不安全反序列化程序的攻击可以在基础操作系统上执行命令,通过网络进行通信,或删除文件。...如何解决冲突 改为使用安全序列化程序,并且不允许攻击者指定要反序列化的任意类型。 有关详细信息,请参阅首选替代方案。 使序列化的数据免被篡改。 序列化后,对序列化的数据进行加密签名。...限制反序列化的类型。 实现自定义 System.Runtime.Serialization.SerializationBinder。...在反序列化之前,请在所有代码路径中将 Binder 属性设置为自定义 SerializationBinder 的实例。

    1.3K00

    序列化与反序列化

    序列化(pickling)   把变量从内存中变成可存储或传输的过程 反序列化(unpickling)   把变量内容从序列化的对象重新读到内存里的过程 序列化&反序列化的意义   在程序运行过程中...,对象可在内存中被自由的修改   一旦程序结束,对象所占内存会被系统回收,所做修改会全部丢失,要想在内存中将对象恢复到修改后状态,就只能重新运行程序进行修改   通过序列化和反序列化,就可把对象某一时刻在内存中的内容状态同步到磁盘...,或通过网络传输到别的机器上最为一个记录   当想在内存中恢复该对象在那一时刻的状态时,就可通过将磁盘或其他机器上记录的对象状态反序列化至内存,而无需重新运行程序 实例 import pickle##引入...d1 = pickle.loads(bytes) ##pickle.loads()方法把bytes反序列化出对象 print(d1) #####################...f1.close() print(d1) 注意:   不同版本的Python彼此都不兼容,只能用Pickle保存那些不重要的数据,不能成功地反序列化也没关系   反序列化后的对象是一个新的对象

    72910

    序列化系列(1)——JDK序列化和Hessian序列化

    我之前在《聊一聊RPC》中曾提过什么是序列化和反序列化,当时有说过之后要单独抽出一期来详细聊聊序列化,没想到这一拖竟然拖了一年多,现在来把这个坑补上。...由于篇幅较长,本文先主要介绍两种常见的序列化方式——JDK序列化和Hessian序列化。 ?...既然有序列化,那么就会有反序列化,在上文的例子中,如果女孩通过情书中的文字明白了男孩的喜欢,这就是一种反序列化。在Java中,将一个byte[]数组重新变成Java对象就是一种反序列化。...反序列化时JVM会按版本号找指定版本的class文件进行反序列化,如果class文件有版本号在序列化和反序列化时不一致就会导致反序列化失败,会抛异常提示版本号不一致, 特点 JDK序列化会把对象类的描述和所有属性的元数据都序列化为字节流...只不过Java序列化会把要序列化的对象类的元数据和业务数据全部序列化从字节流,并且会保留完整的继承关系,因此相较于Hessian序列化更加可靠。

    1K61

    序列化和反序列化

    序列化和反序列化 序列化就是将Python对象(这里以python语言为例进行说明)及其所拥有的的层次结构转化为一个字节流的过程;而反序列化则是和序列化相反的操作,反序列化会将字节流转化为Python对象...为什么要有序列化和反序列化 对于没有实际开发经验的编程初学者而言,可能不太明白序列化和反序列化的场景。...注意:pickle模块是不安全的,你只能对你信任的数据进行序列化,否则反序列化产生的数据可能是不安全的,从而导致安全事故。...web后端所处理的事情无非就是: 将数据库数据序列化为前端所需要的格式,并返回;将前端发送的数据反序列化为模型类对象,并保存到数据库中。...判断要修改的数据是否存在 -> 校验请求的数据 -> 执行反序列化过程 ->保存数据库 ->将保存的对象序列化并返回 查:查询数据库 -> 将数据序列化并返回

    75410

    序列化和反序列化

    序列化:将对象写入到IO流中 反序列化:从IO流中恢复对象 在类中增加 writeObject 和 readObject 方法可以实现自定义序列化策略。...意义:序列化机制允许将实现序列化的Java对象转换为字节序列,这些字节序列可以保存在磁盘上,或通过网络传输,以达到以后恢复成原来的对象。序列化机制使得对象可以脱离程序的运行而独立存在。...并且创建序列化ID,用来判断是否可以反序列化序列化并不保存静态变量 要想将父类对象也序列化,就需要让父类也实现 Serializable 接口。...序列化对象的引用类型成员变量,也必须是可序列化的,否则,会报错。 反序列化时必须有序列化对象的class文件。...同一对象序列化多次,只有第一次序列化为二进制流,以后都只是保存序列化编号,不会重复序列化

    51920

    序列化和反序列化

    1.什么是序列化和反序列化 内存中的字典、列表、集合以及各种对象,如何保存到一个文件中? 如果是自己定义的类的实例,如何保存到一个文件中?...定义 serialization 序列化 将内存中的对象存储下来,把它变成一个个字节;—>二进制 deserialization 反序列化 将文件中的一个个字节恢复成内存中的对象;<—二进制 序列化保存到文件就是持久化...;可以将数据序列化后持久化,或者网络传输; 也可以将从文件中或者从网络接收到的字节序列反序列化; 2.pickle库 python中的序列化、反序列化模块; dumps 对象序列化为bytes对象; dump...对象序列化到文件对象,就是存入文件; loads 从bytes对象反序列化; load 对象反序列化,从文件读取数据 基本使用: import pickle ret = pickle.dumps(“...一般来说,本地序列化的情况,应用较少,大多数场景都应用在网络传输中;将数据序列化后通过网络传输到远程节点,远程服务器上的服务将接收到的数据反序列化后,就可以使用了;但是要注意一点,远程接收端,反序列化时必须有对应的数据类型

    66200

    protobuf 序列化和反序列化

    序列化是将结构化数据转换为一系列字节的过程,反序列化则是将字节流解析为结构化数据的过程。 序列化的过程通常涉及以下步骤: 定义消息类型:使用.proto文件定义消息类型和字段。...反序列化数据:接收方使用protobuf库,将字节数组反序列化为消息对象,并访问其中的字段。 在序列化过程中,protobuf使用压缩技术来减小数据的大小,从而提高传输效率。...序列化 序列化 (Serialization)将对象的状态信息转换为可以存储或传输的形式的过程,与之相对应的过程称之为反序列化(Unserialization)。...XML是一种常用的序列化和反序列化协议,具有跨机器,跨语言等优点。...序列化和反序列化:protobuf提供了自动生成的序列化和反序列化代码,使得数据的序列化和反序列化过程简单而高效。它还支持压缩技术,可以减小数据大小,提高传输效率。

    43810

    【Java】序列化和反序列化

    二、序列化与反序列化 序列化: 对象序列化的最主要的用处就是在传递和保存对象的时候,保证对象的完整性和可传递性。序列化是把对象转换成有序字节流,以便在网络上传输或者保存在本地文件中。...序列化后的字节流保存了Java对象的状态以及相关的描述信息。序列化机制的核心作用就是对象状态的保存与重建。...反序列化: 客户端从文件中或网络上获得序列化后的对象字节流后,根据字节流中所保存的对象状态及描述信息,通过反序列化重建对象。...序列化为二进制数据,可以永久存在硬盘里,也可以进行网络传输。 三、实现java序列化和反序列化 下面嫌太长了可以直接看例子。...实现Java对象序列化与反序列化的方法 若User类仅仅实现了Serializable接口,则可以按照以下方式进行序列化和反序列化: ObjectOutputStream采用默认的序列化方式,对User

    11610
    领券