Java原生序列化与反序列化

序列化与反序列化

Java序列化是指把Java对象转换为字节序列的过程;而Java反序列化是指把字节序列恢复为Java对象的过程。

为什么需要序列化？

序列化分为两大部分:序列化和反序列化。序列化是这个过程的第一部分，将数据分解成字节流，以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对象。对象序列化不仅要将基本数据类型转换成字节表示，有时还要恢复数据。恢复数据要求有恢复数据的对象实例。

序列化为什么会产生安全问题？

只要服务端反序列化数据，客户端传递类的readObject中代码会自动执行，给予攻击者在服务器上运行代码的能力。

Java序列化基本流程

有如下三个文件，Person.java：

import java.io.Serializable;

public class Person implements Serializable {
    // 需要实现Serializable接口才可以序列化
    private String name;
    private int age;

    public Person(){

    }

    public Person(String name, int age) {
        this.name = name;
        this.age = age;
    }

    @Override
    public String toString() {
        return "Person{" +
                "name='" + name + '\'' +
                ",age=" + age +
                '}';
    }
}

序列化操作，SerializationTest.java：

import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;

public class SerializationTest {
    public static void serialize(Object obj) throws IOException {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ser.bin"));
        oos.writeObject(obj);
    }

    public static void main(String[] args) throws Exception{
        Person person = new Person("a", 18);
        serialize(person);
    }
}

反序列化操作，UnserializeTest.java：

import java.io.FileInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;

public class UnserializeTest {
    public static Object unserialize(String Filename) throws IOException, ClassNotFoundException {
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(Filename));
        Object obj = ois.readObject();
        return obj;
    }

    public static void main(String[] args) throws Exception {
        Person person = (Person) unserialize("ser.bin");
        System.out.println(person);
    }
}

SerializationTest中首先生成一个person对象，然后将生成的person对象进行序列化操作，得到二进制文件ser.bin，接着在UnserializeTest中实现反序列化操作得到person对象，并打印出来：

Person{name='a',age=18}

注意：

• （1）想要序列化的对象需要实现Serializable接口才可以序列化。
• （2）使用transient标识的对象不参与序列化。
  
  在Person类中，name属性之前加上transient，改为private transient String name;之后再次尝试序列化和反序列化，输出结果：Person{name='null',age=18}。
• （3）静态成员变量不能被序列化，因为序列化是针对对象的，而静态成员变量属于类。

可能存在反序列化漏洞的形式

• （1）入口类的readObject直接调用危险方法。
  
  Person类文件中重写了readObject方法，在readObject方法中执行命令：

package org.example;

import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.Serializable;

public class Person implements Serializable {
    private transient String name;
    private int age;

    public Person(){

    }

    public Person(String name, int age) {
        this.name = name;
        this.age = age;
    }

    @Override
    public String toString() {
        return "Person{" +
                "name='" + name + '\'' +
                ",age=" + age +
                '}';
    }

    private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
        ois.defaultReadObject();
        Runtime.getRuntime().exec("calc");
    }
}

再次执行SerializationTest和UnserializeTest实现序列化和反序列化，在反序列化时会调用重写的readObject，从而执行其中的命令，弹出计算器：

• （2）入口类参数中包含可控类，该类有危险方法，readObject时调用。
  
  要实现反序列化攻击，入口类最好是继承Serializable，重写readObject，调用常见函数，参数类型宽泛，jdk自带，比如HashMap：
  
  

• （3）入口类中包含可控类，该类又调用其他有危险的方法的类，readObject时调用。

• （4）构造函数/静态代码块等类加载时隐式执行。