必须知道的两个基本Java反序列化(护网蓝初面试干货)

简介: 必须知道的两个基本Java反序列化(护网蓝初面试干货)

1、反序列化

序列化就是将对象转化为字节序列从而便于存储运输,反序列化则与其相反。


常见PHP序列化函数unserialize();


常用的魔术方法:


构造函数__construct(),析构函数__destruct(),__wakeup(),__toString(),__sleep()。


这些函数在传递参数时未进行严格过滤,攻击者就可以构造恶意代码并将其序列化后传入函数,从而导致反序列化

2、Fastjson

原理:

在请求包中修改@type的值来反序列化为指定的类型,而fastjson在反序列化中会设置和获取类中的属性,若类中有恶意方法就会导致代码执行等问题。

判断:

通过构造错误的post请求,查看服务器报错返回包中是否存在fastjson字样

3、Shiro

原理:在用户登陆时提供可传递选项remember me,若勾选,则下次登陆会携带cookie中的remember me字段发起请求,就不需要重新输入用户名和密码。

判断:

查看数据返回包中是否包含rememberMe=deleteMe字段

4、其他

(1)CSRF、SSRF、重放攻击的区别

CSRF:跨站请求伪造攻击,由客户端发起;

SSRF:是服务器端请求伪造,由服务器发起;

重放攻击:将截获的数据包进行重放,达到身份认证目的。

(2)提权

Linux里面我只接触过sudo提权;

Windows提权的话有一个内核提权,systeminfo寻找对应EXP

(3)常见端口号对应的服务

20、21:FTP

22:SSH

80:web服务(http协议)

3306:MySQL

3389:远程桌面

(4)SQL注入写shell

联合注入写:?id=1' union select1,"一句话",3 into outfile 路径

mysql写shell:select "一句话" into outfile "路径"

目录
相关文章
|
2天前
|
存储 缓存 Java
面试官:什么是Java内存模型?
面试官:什么是Java内存模型?
15 0
面试官:什么是Java内存模型?
|
1天前
|
JSON 缓存 安全
Java反序列化漏洞自动挖掘方法
Java反序列化漏洞自动挖掘方法
8 0
|
3天前
|
缓存 监控 架构师
阿里面试:Java开发中,应如何避免OOM
在Java开发中,OutOfMemoryError(OOM)错误一直是令开发者头疼的问题,也是Java面试中出现核心频率很高的问题。 那么我们究竟怎么样才能够有效正确的管理内存,日常开发中究竟要注意哪些核心技巧来避免OOM错误。 本文将带大家一起学习10个避免OOM的实用小技巧,让大家在工作中能够有的放矢,避免OOM错误的飞来横祸。
21 1
|
22天前
|
安全 IDE Java
【2024java面试题无需C币下载】终结空指针异常:Java开发者的生存指南
【2024java面试题无需C币下载】终结空指针异常:Java开发者的生存指南
27 1
|
22天前
|
缓存 Java 数据库
2024java面试题无需C币下载 速度之战:全方位解决Java接口慢响应问题
2024java面试题无需C币下载 速度之战:全方位解决Java接口慢响应问题
55 1
|
24天前
|
Java
【面试问题】用过Java 中哪些原子类?
【1月更文挑战第27天】【面试问题】用过Java 中哪些原子类?
|
24天前
|
安全 Java
【面试问题】Java 中的阻塞队列用过哪些?
【1月更文挑战第27天】【面试问题】Java 中的阻塞队列用过哪些?
|
24天前
|
存储 Java
【面试问题】什么是序列化?什么是反序列化?
【1月更文挑战第27天】【面试问题】什么是序列化?什么是反序列化?
|
24天前
|
设计模式 消息中间件 缓存
2024年Java架构师面试宝典 图文并茂 10G面试题 请收藏
2024年Java架构师面试宝典 图文并茂 10G面试题 请收藏
80 1
|
26天前
|
Java 数据库连接 数据库
【万字长文】Java面试八股文:深入剖析常见问题与解答
【万字长文】Java面试八股文:深入剖析常见问题与解答
95 0

相关产品

  • 云迁移中心