首页 / ANDROID / JAVA与Android 世界级序列化危机与应对方案

JAVA与Android 世界级序列化危机与应对方案

内容导读

互联网集市收集整理的这篇技术教程文章主要介绍了JAVA与Android 世界级序列化危机与应对方案，小编现在分享给大家，供广大互联网技能从业者学习和参考。文章包含2492字，纯文字阅读大概需要4分钟。

内容图文

JAVA序列化危机

Apache Commons Collection 中的反序列化漏洞在 2016 年撼动了整个Java 生态系统，也影响到了 70 余个其他的 Java 库，甚至还让 PayPal 的服务器遭受影响。
OWASP组织将“不安全的反序列化”列为2017年10项最严重的Web 应用程序安全风险榜的第8位。

Android 反序列化漏洞 CVE-2014-7911

Android <5.0系统中，可以利用ObjectInputStream未校验是否可反序列化的漏洞，恶意传入不可序列化对象将产生类型混淆，成员变量被当成指针向system_server进程注入代码，由于system_server拥有system权限，从而使得注入的代码以system权限执行。

序列化代理模式

由于使用序列化在整个行业的巨大风险，在java取消或使用新的替代品之前，最好对序列化行为进行代理，可以阻止伪字节流***和内部域盗用***，避免造成重大损失。

java的隐藏方法

隐藏方法介绍：
readObject()和writeObject()，可以自定义序列化传输过程，例如在前后添加自定义内容，或者直接修改返回结果；可以在readObject添加保护性代码，校验是否真实结果。

writeReplace()：实际序列化的对象将是作为writeReplace方法返回值的对象，而且序列化过程的依据是实际被序列化对象的序列化实现。

readResolve()：在类中有多个实例时，可以通过该方法去决定反序列化后的结果。

在Serializable接口定义中并无这些方法，实际是ObjectOutputStream使用了反射来寻找是否声明了这些隐藏方法再进行调用。

使用隐藏方法实现序列化代理模式

参照Effective Java序列化代理模式如下：

public class Interval implements Serializable {
    private final Date start;
    private final Date end;

    public Interval(Date start, Date end) {
        this.start = new Date(start.getTime());
        this.end = new Date(end.getTime());
        if (this.start.compareTo(this.end) > 0)
            throw new IllegalArgumentException(start + " after " + end);
    }


//提供序列化方法
    private Object writeReplace() {
    return new SerializationProxy(this);
    }

//禁止反序列化外围类
private void readObject(ObjectInputStream ois) throws InvalidObjectException {
    throw new InvalidObjectException("Proxy required!");
}

    public Date getStart() {return new Date(start.getTime());}
    public Date getEnd() {return new Date(end.getTime());}

    @Override
    public String toString() {
        return "Interval{" + "start=" + start + ", end=" + end + '}';
    }

    private static class SerializationProxy implements Serializable {
        private static final long serivalVersionUID = 213214124141L;
        private final Date start;
        private final Date end;

        SerializationProxy(Interval interval) {
            this.start = interval.start;
            this.end = interval.end;
        }
//转回外围类
private Object readResolve() {
    return new Interval(start, end);
}
    }
}

注意应用场景和使用的缺陷

1 扩展性差，需要同步修改实例对象和代理对象。
2 如果直接使用代理类，无法调用对象方法，需要转换成实际类使用。
3 安全但开销更大。

内容总结

以上是互联网集市为您收集整理的JAVA与Android 世界级序列化危机与应对方案全部内容，希望文章能够帮你解决JAVA与Android 世界级序列化危机与应对方案所遇到的程序开发问题。如果觉得互联网集市技术教程内容还不错，欢迎将互联网集市网站推荐给程序员好友。

内容备注

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 gblab@vip.qq.com 举报，一经查实，本站将立刻删除。

内容手机端

扫描二维码推送至手机访问。

本文链接：https://qyyshop.com/info/847509.html

来源：【匿名】

【上一篇】cordova 和 java ( JDK ) 和 android-studio （SDK）的初始安装和配置【下一篇】如何解决android php 中文乱码问题

更多 ►

【JAVA与Android 世界级序列化危机与应对方案】教程文章相关的互联网学习教程文章

Android 序列化比对【代码】【图】

本文转自：https://www.zybuluo.com/linux1s1s/note/91046注：部分内容有更改在Android中使用序列化，无非两种途经： Parcelable 和 Serializable两者区别Serializable的作用是为了保存对象的属性到本地文件、数据库、网络流、rmi以方便数据传输，当然这种传输可以是程序内的也可以是两个程序间的。Parcelable的设计初衷是因为Serializable效率过慢，为了在程序内不同组件间以及不同Android程序间(AIDL)高效的传输数据而设计，这些...

Android序列化【代码】

序列化介绍：一、序列化、反序列化是什么？(1) 名词解释对象的序列化 : 把Java对象转换为字节序列并存储至一个储存媒介的过程。对象的反序列化:把字节序列恢复为Java对象的过程。(2) 序列化详细解释对象的序列化涉及三个点关键点：Java对象、字节序列、存储。1. Java对象的组成？Java对象包含变量与方法。但是序列与反序列化仅处理Java变量而不处理方法，序列与反序列化仅对数据进行处理。2. 什么是字符序列？字符序列是两个词，字...

Android基础--XML序列化(XmlSerializer)【代码】

1.封装节点的JavaBeanpublicclass City {private String name;private String temp;private String pm25;public String getName() {return name;}publicvoid setName(String name) {this.name = name;}public String getTemp() {return temp;}publicvoid setTemp(String temp) {this.temp = temp;}public String getPm25() {return pm25;}publicvoid setPm25(String pm25) {this.pm25 = pm25;}@Overridepublic String toString() {...

Android中序列化对象到XMl 和 XML反序列化为对象【代码】

package com.example.xmloperation;import java.io.File; import java.io.FileOutputStream; import java.util.ArrayList; import java.util.List; import java.util.Random;import org.xmlpull.v1.XmlPullParser; import org.xmlpull.v1.XmlPullParserException; import org.xmlpull.v1.XmlSerializer;import android.annotation.SuppressLint; import android.os.Bundle; import android.os.Environment; import android.support...

android – Tensorflow移动应用程序：不是有效的TensorFlow图形序列化：NodeDef提到attr’dilations’不在Op中【代码】

我试图在https://codelabs.developers.google.com/codelabs/tensorflow-for-poets-2的例子中替换graph.pb文件但它未能在Andriod中启动时出现错误：Not a valid TensorFlow Graph serialization: NodeDef mentions attr ‘dilations’ not in Op name=Conv2D.12-16 15:06:24.986 4310-4310/org.tensorflow.demo E/AndroidRuntime: Caused by: java.io.IOException: Not a valid TensorFlow Graph serialization: NodeDef mentions a...

java – 在android中的Ksoap2无法序列化【代码】

我在android中使用kso??ap2 将数字列表作为字符串发送但它有错误： java.lang.runtimeexception无法序列化我搜索此错误的解决方案但结果没有改变可以帮帮我public String Send(ArrayList<String> contactlist) {try{ SoapObject request = new SoapObject(WSDL_TARGET_NAMESPACE,OPERATION_NAME); PropertyInfo pi=new PropertyInfo();pi.setType(String.class);pi.setName("contactlist");pi.setValue(contactlist);request.ad...

c# – 反序列化从Android应用程序发送到WCF webservice的JSON对象【代码】

我正在尝试将JSON对象发送到我的webservice方法,该方法定义如下：public String SendTransaction(string trans) {var json_serializer = new JavaScriptSerializer();Transaction transObj = json_serializer.Deserialize<Transaction>(trans);return transObj.FileName; }我想在哪里返回我作为参数获得的这个JSON字符串的FileName. android应用程序的代码：HttpPost request = new HttpPost("http://10.118.18.88:8080/Ser...

java – 使用proguard android进行数组序列化的异常【代码】

我使用了snappy DB library,我的’Location’类有默认构造函数.不使用proguard但使用proguard时工作正常：这是我的例外：java.lang.IllegalArgumentException: Unable to create serializer "com.d.a.c.x" for class: Object[]这是我的代码：import com.snappydb.DBFactory; ArrayList<Location> mLocationsList; snappydb = DBFactory.open(mContext, "LocationsList"); snappydb.put("LocationsList", mLocationsList.toArray()...

android – Retrofit 2 RxJava – Gson – “全局”反序列化,更改响应类型【代码】

我正在使用一个始终返回如下所示的JSON对象的API：public class ApiResponse<T> {public boolean success;public T data; }data field是一个JSON对象,包含所有有价值的信息.当然,对于不同的请求,它们是不同的.所以我的改造界面如下所示：@GET(...) Observable<ApiResponse<User>> getUser();当我想处理响应时我需要做的事如：response.getData().getUserId();我真的不需要那个布尔成功字段,我想省略它,所以我的改装界面可能如下所示...

android – 使用带有firebase的自定义JSON序列化程序【代码】

使用DataSnapshot.getValue()时,是否可以以Json格式获取JsonObjects或字符串？也许我的搜索不够彻底,但我找不到使用自定义序列化程序的方法.解决方法:更新：我没有时间查看最新SDK的文档,但它看起来像there are some options for JSON fields. DataSnapshot中的getValue()返回一个HashMap.因此,在Firebase侦听器的任何方法中,您都可以： >获取DataSnapshot的值,它将返回HashMap：HashMap<String, JSONObject> dataSnapshotValue = ...

android – Firebase java对象序列化和继承【代码】

参见英文答案 > How to deserialise a subclass in Firebase using getValue(Subclass.class) 4个它是否也序列化继承的属性？@IgnoreExtraProperties public class Item extend BaseObservable {private String foo;public Item() { }@Bindablepublic String getFoo() {return this.foo;} }解决方法:我刚遇到同样的问题,发现了你的问题.虽然我在其他地方找不到明确的答案,但一些实验表明公共领...

Android 1.6 ksoap2“RuntimeException：无法序列化：java.util.GregorianCalendar ..”,同时传递datetime参数

我必须使用kso??ap2 api在android中调用.net web服务.我的代码适用于将参数传递为String或int.但它在传递Calendar对象作为参数时显示“java.lang.RuntimeException：无法序列化：java.util.GregorianCalendar …..”.我将日期转换为字符串并将其解析为日期对象,但这并不令人担忧. 有人帮帮我. 谢谢.解决方法:传递日期的最简单方法是作为字符串,但如果要将其作为日期传递,则需要编写Marshal接口的类并注册信封.这基本上告诉KSOAP如何...

序列化/反序列化LinkedHashMap(android)java【代码】

所以我想将LinkedHashMap传递给intent.//SEND THE MAP Intent singlechannel = new Intent(getBaseContext(),singlechannel.class); singlechannel.putExtra("db",shows1);//perase to startActivity(singlechannel);//GET THE MAP LinkedHashMap<String,String> db = new LinkedHashMap<String,String>(); db=(LinkedHashMap<String,String>) getIntent().getSerializableExtra("db");这个就像HashMap的魅力一样.但是使用Linke...