首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

简单描述Json序列化出现漏洞的原因

背景简介 Json序列化就是将数据对象转化为Json字符串。在序列化过程中抛弃了类型信息,所以反序列化时候只有提供类型信息才能准确的反序列化。...序列化通过会通过网络传输对象,而对象中往往有敏感信息,所以序列化常常成为黑客的攻击点,攻击者巧妙的利用反序列化过程构造恶意代码,使得程序在反序列化过程中执行任意代码。...Java工程中经常使用的Apache Commons Collections、Jackson、fastjson等都出现过反序列化漏洞。 如何防范??...有些对象的敏感属性不需要进行序列化传输,可以加transient关键字,避免把此属性信息转化为序列化的二进制流。 如果一定要传输呢?

1K20
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Python json序列化

    Python内置的json模块提供了非常完善的对象到JSON格式的转换。...要把JSON序列化为Python对象,我们可以用loads()或者对应的load()方法,前者把JSON的字符串反序列化,后者从Object中读取字符串并反序列化: 比如这样: import json...', 'age': 17, 'sex': 'Male'} Python的dict对象可以直接序列化JSON的{},那么如何用class对象,比如定义Person类,然后序列化?...输出和上面一样 # 输出 : {"name": "Kaven", "age": 17, "sex": "Male"} 这样,Person实例首先被PersonToDict()函数转换成dict,然后再被序列化为...__dict__)) # obj为对象参数名,可自定义 同样的道理,如果我们要把JSON序列化为一个Person对象实例,loads()方法首先转换出一个dict对象,然后,我们再传入的object_hook

    2.2K10

    JSON 无法序列化

    JSON 无法序列化通常出现在尝试将某些类型的数据转换为 JSON 字符串时,这些数据类型可能包含不可序列化的内容。 JSON 序列化器通常无法处理特定类型的数据,例如日期时间对象、自定义类实例等。...在将数据转换为 JSON 字符串之前,确保所有数据都是可序列化的。我们可以编写自定义的序列化器来处理不可序列化的对象,或者将对象转换为可序列化的类型。...当您尝试使用 json.dumps() 函数序列化这个对象时,您收到了错误提示:“raise TypeError(repr(o) + " is not JSON serializable")”。...JSON 对象json_string = json.dumps(d)​print(json_string)方法二:为 ObjectId() 对象提供一个默认编码函数。...JSON 无法序列化的问题,并成功将数据转换为 JSON 字符串。

    11010

    Liferay Portal Json Web Service 反序列化漏洞(CVE-2020-7961)

    作者:Longofo@知道创宇404实验室 时间:2020年3月27日 之前在CODE WHITE上发布了一篇关于Liferay Portal JSON Web Service RCE的漏洞,之前是小伙伴在处理这个漏洞...总结起来该漏洞就是:Liferay Portal提供了Json Web Service服务,对于某些可以调用的端点,如果某个方法提供的是Object参数类型,那么就能够构造符合Java Beans的可利用恶意类...,传递构造好的json序列化串,Liferay反序列化时会自动调用恶意类的setter方法以及默认构造方法。...(rootType);而第二种官方也不推荐这样使用,存在安全问题,假设某个应用提供了接收JODD Json的地方,并且使用了第二种方式,那么就可以任意指定类型进行反序列化了,不过Liferay这个漏洞给并不是这个原因造成的...: 看到这个有点感觉了,可以传递参数进行方法调用,有个p_auth是用来验证的,不过反序列化在验证之前,所以那个值对漏洞利用没影响。

    1.4K20

    序列化漏洞

    这几天网上又报出来Dubbo的一个反序列化漏洞,一时间Dubbo又被推上了风口浪尖,对dubbo本身也褒贬不一....漏洞报告地址如下,有兴趣的可以自己研究下: https://www.mail-archive.com/dev@dubbo.apache.org/msg06544.html 其实在2月份就有相似的漏洞报出来了...,漏洞地址如下: https://www.mail-archive.com/dev@dubbo.apache.org/msg06225.html 我们抛开Dubbo不提,看看反序列化漏洞到底是什么样的?...序列化: 序列化是将Java对象转换成二进制字节,这些字节可以保存到磁盘上, 也可以通过网络传输,发送到其他服务上....调用方法: ObjectOutputStream.writeObject(Object) 反序列化: 与序列化相反,是将二进制字节转换成Java对象 调用方法: ObjectInputStream.readObject

    26710

    Web漏洞 | JAVA反序列化漏洞

    目录 反序列化漏洞 序列化和反序列化 JAVA WEB中的序列化和反序列化 对象序列化和反序列范例 JAVA中执行系统命令 重写readObject()方法...Apache Commons Collections 反序列化漏洞payload JAVA Web反序列化漏洞的挖掘和利用 由于本人并非JAVA程序员,所以对JAVA方面的知识不是很懂...本文参照几位大佬的博客进行归纳总结,给大家阐述了JAVA反序列化漏洞的原理以及Payload的构造,文章末尾会放出参考链接。 Part 1 反序列化漏洞 JAVA反序列化漏洞到底是如何产生的?...反序列化漏洞从无到有 Lib之过?...Java反序列化漏洞通用利用分析 Java反序列化漏洞分析 Commons Collections Java反序列化漏洞深入分析

    74910

    python序列化json,pickl

    序列化的逆向过程,即为反序列化(unpickling),就是把序列化的对象(或者变量)重新读到内存中~ json模块 json 模块就用于序列化和反序列化。...对象(变量)使用json模块序列化后,表现为一个字符串,序列化为字符串格式的好处是:序列化后的对象可以在不同的编程语言之间传递。...这两个方法用于序列化对象,两个方法的功能类似,区别在于,json.dumps 方法接收一个参数,即需要序列化的对象,其余参数为可选参数,方法执行完成后,会返回序列化后得到的字符串;json.dump...", "age": 18}% json.load / json.loads 这两个方法用于序列化后的字符串 反序列化,两者的区别和 dump、dumps 类似,json.loads 接收一个字符串参数...模块 pickle 模块也用于序列化和反序列化Python对象(变量),其用法和 json 模块的使用基本一致。

    91720

    漏洞复现 - - - Fastjson反序列化漏洞

    一,Fastjson简介 1.Fastjson是什么 Fastjson 是一个 Java 库,可以将 Java 对象转换为 JSON 格式,当然它也可以将 JSON 字符串转换为 Java 对象。...Java格式 3.什么是是反序列化 我们搞懂了什么是fastjson那我们理解一下序列化,反序列化又是什么意思呢 。...Fastjson漏洞产生原因 反序列化之后的数据本来是没有危害的,但是用户使用可控数据是有危害的 漏洞信息: fastjson 1.2.24 反序列化导致任意命令执行漏洞:fastjson在解析json...Fastjson 1.2.47 远程命令执行漏洞:fastjson于1.2.24版本后增加了反序列化白名单,而在1.2.48以前的版本中,攻击者可以利用特殊构造的json字符串绕过白名单检测,成功执行任意命令...Content-Type 修改为 application/json  然后将playload复制到bp发送 查看监听的端口,就复现成功  三, 漏洞修复 1. fastjson 版本至少升级到

    1.5K20

    JSON序列化接口,JsonSerializable

    写在前面 php中操作json的函数有json_encode(),json_decode() 在该文档中,encode的传入值可以是除了resource 类型之外的任何数据类型。...; } } echo json_encode(new Siam()); // 得到 {"name":"siam"} 默认的json_encode,只能序列化类中的public属性。...自定义类的序列化接口 php还提供了一个自定义类序列化的接口,JsonSerializable 实现 JsonSerializable 的类可以 在 json_encode() 时定制他们的 JSON...(new Siam()); // 得到 {"name":"siam","age":21,"lover":"undefined"} 当我们定义一些类的时候,它们经常参与json序列化和传输,同时默认的public...总结 json不能序列化资源 json序列化类的时候默认只序列化public属性 php提供了JsonSerializable自定义序列化接口

    1.7K10

    【Flutter】JSON 模型转换 ( JSON 序列化工具 | JSON 手动序列化 | 根据 JSON 编写 Dart 模型类 | 在线自动根据 JSON 转换 Dart 类 )

    文章目录 一、JSON 序列化工具 二、JSON 手动序列化 三、根据 JSON 编写 Dart 模型类 四、在线自动转换 五、相关资源 一、JSON 序列化工具 ---- JSON 格式比较简单的话..., 使用自带的 dart:convert 包 , 手动进行 JSON序列化与反序列化的操作即可 ; /// json 序列化 , 反序列化 包 import 'dart:convert'; 如果 JSON...格式很复杂 , 就需要使用 JSON序列化插件 ; json_serializable : https://pub.dev/packages/json_serializable built_value...: https://pub.dev/packages/built_value 二、JSON 手动序列化 ---- 给定如下 JSON 字符串 : { "icon": "icon.png", "...字符串序列化为 Map 格式的数据 ; 代码示例 : import 'dart:convert'; void main() { String jsonString

    2.6K20

    Java-json序列化和反序列化

    java开发中经常会遇到json序列化与反序列化,常用的json序列化工具有阿里的Fastjson、spring mvc内置的Jackson、还有就是我们接下来要说的谷歌的Gson。...Fastjson 的常见使用 Fastjson API入口类是com.alibaba.fastjson.JSON,常用的序列化操作都可以在JSON类上的静态方法直接完成。...ObjectMapper有多个JSON序列化的方法,可以把JSON字符串保存File、OutputStream等不同的介质中。...:"+test.toString()); } 注意: 一、把实体类序列化json时,如果实体类某个属性的值为null,gson在序列化该对象是则默认过滤掉该属性,该属性不会参与序列化。...二、反序列化时需注意json串的格式,如果是数组则最外层是用‘[ ]’来包括的,如果是对象或者是Map则是用‘{ }’来包括的, 根据需要反序列化json格式来选定需要反序列化用的方法gson.fromJson

    4.6K60

    php反序列化漏洞

    在说php反序列化漏洞之前,先讲讲什么是类,什么是对象,什么是函数 什么是类 类的概念:类是具有相同属性和操作的一组对象的集合。...()序列化函数 定义 序列化(serialization)在计算机科学的数据处理中,是指将数据结构或对象状态转换成可取用格式(例如存成文件,存于缓冲,或经由网络中发送),以留待后续在相同或另一台计算机环境中...,序列化,反序列化一般用作缓存。...说了这么多,什么是反序列化漏洞呢? 当一个被序列化的对象,反序列化回去的时候,触发了魔术方法。而调用魔术函数时,传进去的值是用户可控的。...再说简单一点,就是服务器接收了攻击者上传的反序列化过的字符串,未经严格过滤,就把其中的变量作用到魔法函数里面,从而产生了预料之外的结果,造成的漏洞 演示 这里以wakeup()函数为例: mydx.php

    75142

    PHP反序列化漏洞

    序列化和反序列化的概念 序列化就是将一个对象转换成字符串。字符串包括 属性名 属性值 属性类型和该对象对应的类名。...反序列化则相反将字符串重新恢复成对象 对象的序列化利于对象的保存和传输,也可以让多个文件共享对象。...ctf很多题型也都是考察PHP反序列化的相关知识 PHP的序列化 序列化函数serialize() 首先我创一个Ctf类 里面写了三个属性 后创建了一个ctfer对象 将Ctf类里的信息进行了改变。...可以再__sleep()方法里可以决定哪些属性被序列化 如果没有__sleep()方法则默认序列化所有属性 上图__sleep()方法使flag age 属性序列化 name并没有被序列化 访问控制修饰符...该属性长度为6 s:9:"Ctfflag" //ctf前后也就是类名前后出现两个%00 所以长度为9 PHP的反序列化序列化函数unserialize() 反序列化就是将一个序列化的字符串,还原回去

    50620

    PyYAML反序列化漏洞

    launch the app in another terminal by doing # cd testapp # python manage.py testserver test_data.json...Gaius","id": 1,"last_name": "Baltar","login": "gbaltar"}' - headers: {'Content-Type': 'application/json...漏洞成因 通过跟踪$PYTHON_HOME/lib/site-packages/yaml/constructor.py文件,查看PyYAML源码可以得到其针对Python语言特有的标签解析的处理函数对应列表...该函数会根据参数来动态创建新的Python类对象或通过引用module的类创建对象,从而可以执行任意命令~ 通用POC 经过上面的了解与验证,我们知道只要存在yaml.load()且参数可控,则可以利用yaml反序列化漏洞...漏洞修复 在PyYAML>=5.1版本中有两个补丁限制了反序列化内置类方法以及导入并使用不存在的反序列化代码: Path 1: ? Path 2: ?

    2K10

    在MVC中使用Json.Net序列化和反序列化Json对象

    在.Net的MVC开发中,经常会使用到Json对象,于是,系统提供了JsonResult这个对象,其本质是调用.Net系统自带的Json序列化类JavaScriptSerializer对数据对象进行序列化...但是这个系统自带的Json序列化对象方法没有Json.Net好用,于是打算有些时候用Json.Net替代默认的实现。 要实现有时候用Json.Net,有时候用默认实现,那么就要保证系统中两种实现并存。...回Server,那么就比较麻烦了,需要修改好几处地方: 1,建立Json.Net的ValueProviderFactory,这个类主要就是用于Json字符串的反序列化。...Json.Net的反序列化方法,如果不是,那么就使用系统默认的反序列化方法 if (controllerContext.HttpContext.Request.ContentType.StartsWith...数据时,如果指定了contentType是application/json,那么就使用系统默认的方法来反序列化对象,如果是application/json.net,那么就使用Json.Net来反序列化

    1.2K20
    领券