readObject 第4页

【信息安全服务】代码审计之反序列化漏洞分析

2.关键函数ObjectInputStream()readObject()当程序设计人员使用ObjectInputStream

Keyli0n·2020-06-24 00:13

什么是writeObject 和readObject？可定制的序列化过程

尝试着翻译一下:wink:，原文是[b][url=http://www.javablogging.com/what-are-writeobject-and-readobject-customizing-the-serialization-process

iteye_14460·2020-06-23 18:59

一个关于HashSet序列化的问题

HashSet类里面维护了一个声明为transient的HashMap对象，表明HashSet序列化时该对象不进行序列化，同时HashSet另外实现了writeObject和readObject方法进行序列化处理

dr_fy·2020-06-23 15:47

什么是writeObject 和readObject？可定制的序列化过程（转）

（对象序列化与反序列化、transient关键字）这篇文章很直接，简单易懂。尝试着翻译一下，原文是WhatarewriteObjectandreadObject?Customizingtheserializationprocess.在Java中使用Serialization相当简单。如果你有一些对象想要进行序列化，你只需实现Serializable接口。然后，你可以使用ObjectOutputSt

slheluo·2020-06-23 07:54

transient关键字的作用，writeObject和readObject方法的作用

文章目录transient关键字概述java中的序列化序列化概念什么时候需要序列化，实现序列化的过程HashMap是如何实现序列化的transient关键字概述使用transient关键字修饰的属性，在保存对象时，该属性并不会被保存。简而言之，被transient修饰的变量不参与序列化和反序列化。在java中，有很多的类都实现了java.io.Serializable接口，但是同时，类中的很多的属

vvHhhh...·2020-06-23 01:34

WebLogic 反序列化远程代码执行漏洞(CVE-2018-2628)

WebLogic反序列化远程代码执行漏洞(CVE-2018-2628)漏洞概述:在WebLogic里，攻击者利用其他rmi绕过weblogic黑名单限制，然后在将加载的内容利用readObject解析，

SoulCat.·2020-06-23 00:03

使用xxl-job时，启动执行器工程报错：unknown code for readObject at 0x3c (&amp;lt;)

使用xxl-job时，启动执行器服务报错：com.caucho.hessian.io.HessianProtocolException:unknowncodeforreadObjectat0x3c。具体错误如下所示：可能原因：执行器工程中的调度中心地址配置错误。需要按照下述格式进行配置，并且注意填写的是调度中心首页地址。xxl.job.admin.addresses=http://address0

J_bean·2020-06-21 22:29

为什么HashMap要自己实现writeObject和readObject方法？

2019独角兽企业重金招聘Python工程师标准>>>为什么HashMap要自己实现writeObject和readObject方法？

weixin_34346099·2020-06-21 11:24

Ceph块存储客户端的安装及块设备映射

ceph1管理节点上创建ceph块客户端用户名和认证密钥cephauthget-or-createclient.rbd（用户名称）mon'allowr'（对mon组件进行授权）osd'allowclass-readobject_prefixrbd_children

weixin_34055910·2020-06-21 11:21

Java反序列化漏洞详解

Java中的ObjectOutputStream类的writeObject()方法可以实现序列化，类ObjectInputStream类的readObject()方法用于反序列化。

Endeavour-id·2020-06-21 04:28

ceph客户端安装配置访问rbd

yum-yinstallcentos-release-ceph-nautilus.noarchyum-yinstallceph-commonceph服务器上操作：cephauthget-or-createclient.clt132mon'allowr'osd'allowclass-readobject_prefixrbd_children

allway2·2020-06-20 20:51

【鸡肋】URLDNS2的反序列化发现

接下来看下hashtable的readobject方法：1privatevoidreadObject(java.io.ObjectInputStreams)2throwsIOException,ClassNotF

ph4nt0mer·2020-04-21 22:00

WebLogic 反序列化远程代码执行漏洞(CVE-2018-2628)漏洞复现

漏洞概述：在WebLogic里，攻击者利用其他rmi绕过weblogic黑名单限制，然后在将加载的内容利用readObject解析，从而造成反序列化远程代码执行该漏洞，该漏洞主要由于T3服务触发，所有开放

09298·2020-04-13 16:45

Java中ArrayList的序列化，既然重写了writeObject和readObject，为什么还要用transient来修饰elementData？

Transient:此关键字智能用于变量，表示不能被序列化。在ArrayList中存储元素的变量用transient修饰，所以理论上ArrayList不能被序列化。但是在ArrayList中却可以，因为在ArrayList中重写了writeObject这个方法，所以可以转化为文件流，可以被序列化。网上说这样设计的目的是因为在ArrayList中的存放元素的是一个素组，这个数组的容量大小基本上都会比

Mervyn_2014·2020-04-03 01:51

序列化之Parcelable和Serializable

(1)Serializable是java提供的序列化接口，它是一个空的接口，仅标识该类型可序列化的，具体的序列化/反序列化工作由ObjectInputStream(readObject

Jdqm·2020-03-31 19:23

Java创建对象的方式

运用反序列化手段，调用java.io.ObjectInputStream对象的readObject()方法。下面演示了用前面3种方

不知名的蛋挞·2020-03-18 23:17

java反序列化-ysoserial-调试分析总结篇(7)

前言：CommonsCollections7外层也是一条新的构造链，外层由hashtable的readObject进入，这条构造链挺有意思，因为用到了hash碰撞yso构造分析：首先构造进行rce所需要的转换链

tr1ple·2020-03-06 22:00

java反序列化-ysoserial-调试分析总结篇(6)

前言：这篇记录CommonsCollections6的调试，外层也是新的类，换成了hashset，即从hashset触发其readObject()，yso给的调用链如下图所示利用链分析：首先在hashset

tr1ple·2020-03-05 22:00

java反序列化-ysoserial-调试分析总结篇(5)

由如下调用链可以看到此时最外层的类不是annotationinvoke，也不是priorityqueue了，变成了badattribute该类要求没有配置securitymanager利用链分析：首先在badAttribute的readObject

tr1ple·2020-03-04 23:00

用私有构造器或枚举类型强化单例(Singleton)属性--EffectiveJava小结(3)

一.非枚举类型实现的单例(1)防止实现Serializable的序列化，反序列化破坏单例：需要声明一个readResolve方法，ObjectInputStream.readObject()返回的对象会是

冰鱼飞鸟·2020-02-27 03:24

ArrayList源码解析

查看源码，我们发现ArrayList实现了自己的readObject和writeObject方法，所以这保证了ArrayList的可序列

一凡呀·2020-02-22 15:27

创建对象只是开辟个堆内存那么简单吗？

运用反序列化手段，调用java.io.ObjectInputStream对象的readObject()方法。对象创建过程

安宁_Ann·2020-02-22 12:12

blackhat-New-Exploit-Technique-In-Java-Deserialization-Attack-笔记

序列化的类中存在危险函数从上面3点看出和以前看php的反序列化攻击场景从宏观上看差不多，首先是接收数据时反序列化了不被信任的序列化数据，php的当然是固定的unserialize函数，而java中通过调用对象输入流的readObject

tr1ple·2020-02-04 18:00

java 序列化与反序列化

JAVA提供的操作序列化的接口（1）Java主要提供给了两个接口实现对象的序列化和反序列化，java.io.ObjectInputStream的readObject（）方法

伊凡的一天·2020-01-05 09:57

Java序列化

参考这篇:java序列化，看这篇就够了补充内容，在自定义序列化规则writeObject和readObject方法中，以下两个方法按惯例写在方法中的第一行；这两方法默认会序列化所有的non-static

远去的列车·2020-01-02 16:00

Day2 单例设计模式

区分类加载时创建单例，还是实际使用时（延迟分配）；可以加锁，但要考虑效率，判null可以只在单例为null时存在锁，其他时候无锁获取单例；反序列化可能弄出多个单例，目前枚举类型避免了该问题，其实质是自己要重写readObject

cheng_18·2019-12-17 16:00

java学习笔记#6-对象的序列化与反序列化

序列化流（ObjectOutputStream）：是过滤流，主要方法writeObject反序列化流（ObjectInputStream）：readObject序列化接口（Serializable）：对象必须实现序列化接口才能进行序列化

edwin1993·2019-12-14 00:42

Java transient关键字小记

当对象中自定义了writeObject和readObject方法时，JVM会调用这两个自定义方法来实现序列化与反序列

sortinnauto·2019-11-08 02:29

多线程导致的序列化java.io.OptionalDataException: [12j5aT-1nOH8KGx3C8NT

服务端反序列化失败exceptionStack=java.io.OptionalDataException:[12j5aT-1nOH8KGx3C8NT]nullatjava.io.ObjectInputStream.readObject0

风雪了2·2019-11-03 17:52

Java IO流对象的序列化和反序列化实例详解

2.序列化流（ObjectOutputStream），writeObject方法用于将对象写入输出流中；反序列化流（ObjectInputStream），readObject方法用于从输入流中读取对象。

·2019-09-22 21:07

JAVA序列化(创建可复用的 Java 对象)

静态成员不保存3序列化用户远程对象传输4Serializable实现序列化5ObjectOutputStream和ObjectInputStream对对象进行序列化及反序列化6writeObject和readObject

jiayou2015·2019-09-20 13:37

第88项：保护性地编写readObject方法

第50项介绍了一个不可变的日期范围类，它包含可变的私有Date域。该类通过在其构造器和访问方法（accessor）中保护性地拷贝Date对象，极力地维护其约束条件和不可变性。下面就是这个类：//ImmutableclassthatusesdefensivecopyingpublicfinalclassPeriod{privatefinalDatestart;privatefinalDateen

coloured_glaze·2019-09-08 19:21

java集合类原理总结

由于通过存放的是动态数组，arrayList重写序列化方法readObject和writeObject，只序列化有值的数组位置。add(Ee)添加元素方法：会检查数组容量是否

zsf_lance·2019-09-03 23:51

如何使用Externalizable接口自定义Java中的序列化

Java序列化过程的缺点我们都知道如何使用Serializable接口序列化/反序列化一个对象，并且如何使用writeObject和readObject方法自定义序列化过程。

科技光头强哥·2019-08-20 14:00

Ceph块存储客户端的安装及块设备映射

ceph1管理节点上创建ceph块客户端用户名和认证密钥cephauthget-or-createclient.rbd（用户名称）mon'allowr'（对mon组件进行授权）osd'allowclass-readobject_prefixrbd_children

哆先生·2019-04-19 11:12

防御性地编写READOBJECT方法

EffectiveJava,ThirdEdition88.防御性地编写READOBJECT方法条目50里有一个不可变的日期范围类，它包含一个可变的私有Date属性。该类通过

码匠安徒生·2019-04-03 15:29

Java序列化和反序列化

需要将对象永久的保存在硬盘中(比如Session对象)-网络传输对象的序列(网络中的二进制序列)过程:序列化的过程:创建一个对象输出流对象,调用对象的writeObject()函数反序列化的过程,创建一个对象输入流,调用readObject

1900Yin·2019-02-18 22:00

Java基础之序列化

2.1.1ArrayList中writeObject和readObject方法2.1.2那么为什么ArrayList**要用这种方式来实现序列化呢**？2.1.3所以如何自定义序列化和反序列化策略？

榴霖燚炀·2019-01-04 01:30

java基础盲点

Java基类和派生类-KingOfOnePiece的博客-CSDN博客使用ObjectInputStream的readObject()方法如何判断读取到多个对

任嘉平生愿·2018-12-22 16:25

CommonsCollections2反序列化漏洞研究记录

可以执行的方法包括readObject、readObjectNoData、readResolve，以及实现了Externalizable接口的readExternal方法。

CONSCRIPT·2018-12-20 16:37

JAVA反序列化漏洞

目录反序列化漏洞序列化和反序列化JAVAWEB中的序列化和反序列化对象序列化和反序列范例JAVA中执行系统命令重写readObject()方法ApacheCommonsCollections反序列化漏洞

谢公子·2018-12-20 14:25

Java-序列化 —（二）

如果一个类不仅实现了Serializable接口，而且定义了readObject（ObjectInputStreamin）和writeObject(ObjectOutputStreamout)方法，那么将按照如下的方式进行序列化和反序列化

Sandy_678f·2018-12-11 14:03

从WebLogic看反序列化漏洞的利用与防御

0x01Java反序列化时序Java反序列化时序对于理解Java反序列化的利用或是防御都是必要的，例如有些Gadget为什么从readObject方法开始进行构造

FLy_鹏程万里·2018-10-29 14:38

防止单例被序列化破坏

在单例的序列化中，被反序列化的单例对象会通过显式或者默认的readObject方法去获取一个指向新的实例的引用INSTANCE，原理是利用反射构建了一个新的对象，所以私有构造器是没有用的，readObject

coldbee158·2018-10-25 14:38

java反序列化原理-Demo（一）

Java反序列化是指把字节序列恢复为Java对象的过程，ObjectInputStream类的readObject()方法用于反序列化。0x01java反序

wx5b0b88843cb2a·2018-08-13 17:03

深入了解序列化writeObject、readObject、readResolve

说到Java的序列化，大多数人都知道使用ObjectOutputStream将对象写成二进制流，再使用ObjectInputStream将二进制流写成文件实现序列化和反序列化。今天这篇文章将深入分析一下序列化。1.Serializable通常我们序列化一个对象的目的是为了可以再序列化回来，使用场景有很多，比如说：-把对象保存到文件中，然后可以再恢复-使用网络IO传递一个对象-因为memcache不

Lebron_Chen·2018-08-08 23:00

JAVA总结---序列化的三种方式

序列化需要：所需类：ObjectInputStream和ObjectOutputStream方法：readObject()和writeObject();序列化方式一：实现Serializable接口(隐式序列化

胡其先生·2018-08-01 17:47

序列化与反序列化（对象流）

ObjectInputStream有readObject()从文件中读出一个对象ObjectOutputStream有writeObject()向

平平蛋蛋·2018-07-22 23:48

谈谈 JAVA 的对象序列化

很多人关于『序列化』的认知只停留在readObject和writeObject这两个方法的调用，但却不知道为什么JAVA能够从一个二进制文件中「还原」出来一个完整的JAVA对象，也不知道

Single_Yam·2018-07-16 17:00

对象的序列化与反序列化

（2）序列化流（objectOutputStream），是字节过滤流，主要方法是writeobject()方法;反序列化流（objectInputStream）,主要方法是readObject()方法。

ma2622595880·2018-05-14 19:28

推荐频道

readObject

【信息安全服务】代码审计之反序列化漏洞分析

什么是writeObject 和readObject？可定制的序列化过程

一个关于HashSet序列化的问题

什么是writeObject 和readObject？可定制的序列化过程（转）

transient关键字的作用，writeObject和readObject方法的作用

WebLogic 反序列化远程代码执行漏洞(CVE-2018-2628)

使用xxl-job时，启动执行器工程报错：unknown code for readObject at 0x3c (&amp;amp;lt;)

为什么HashMap要自己实现writeObject和readObject方法？

Ceph块存储客户端的安装及块设备映射

Java反序列化漏洞详解

ceph客户端安装配置访问rbd

【鸡肋】URLDNS2的反序列化发现

WebLogic 反序列化远程代码执行漏洞(CVE-2018-2628)漏洞复现

Java中ArrayList的序列化，既然重写了writeObject和readObject，为什么还要用transient来修饰elementData？

序列化之Parcelable和Serializable

Java创建对象的方式

java反序列化-ysoserial-调试分析总结篇(7)

java反序列化-ysoserial-调试分析总结篇(6)

java反序列化-ysoserial-调试分析总结篇(5)

用私有构造器或枚举类型强化单例(Singleton)属性--EffectiveJava小结(3)

ArrayList源码解析

创建对象只是开辟个堆内存那么简单吗？

blackhat-New-Exploit-Technique-In-Java-Deserialization-Attack-笔记

java 序列化与反序列化

Java序列化

Day2 单例设计模式

java学习笔记#6-对象的序列化与反序列化

Java transient关键字小记

多线程导致的序列化java.io.OptionalDataException: [12j5aT-1nOH8KGx3C8NT

Java IO流对象的序列化和反序列化实例详解

JAVA序列化(创建可复用的 Java 对象)

第88项：保护性地编写readObject方法

java集合类原理总结

如何使用Externalizable接口自定义Java中的序列化

Ceph块存储客户端的安装及块设备映射

防御性地编写READOBJECT方法

Java序列化和反序列化

Java基础之序列化

java基础盲点

CommonsCollections2反序列化漏洞研究记录

JAVA反序列化漏洞

Java-序列化 —（二）

从WebLogic看反序列化漏洞的利用与防御

防止单例被序列化破坏

java反序列化原理-Demo（一）

深入了解序列化writeObject、readObject、readResolve

JAVA总结---序列化的三种方式

序列化与反序列化（对象流）

谈谈 JAVA 的对象序列化

对象的序列化与反序列化

使用xxl-job时，启动执行器工程报错：unknown code for readObject at 0x3c (&lt;)