-
题名用XStream序列化Java对象
被引量:1
- 1
-
-
作者
李浩
王恂
-
机构
河北软件职业技术学院
-
出处
《科技资讯》
2008年第26期39-,共1页
-
文摘
分析研究了Java序列化和XML序列化技术,利用开源工具XStream可以很简单的将Java对象序列化为XML。
-
关键词
java序列化
XML序列化
XStream
-
分类号
TP31
[自动化与计算机技术—计算机软件与理论]
-
-
题名基于图网络的Java反序列化漏洞检测方法
被引量:1
- 2
-
-
作者
胡飞
陈昊
王媛
弋雯
胡颖
刘宝英
-
机构
西北大学信息科学与技术学院
中国劳动关系学院
新华社技术通信局
-
出处
《计算机技术与发展》
2023年第5期122-129,共8页
-
基金
陕西省国际合作计划重点项目(2020KWZ-013)
中国劳动关系学院一般项目(20XYJS007)。
-
文摘
Java反序列化漏洞由于其很容易被非法利用,已经成为目前最具威胁的软件漏洞之一。在开发过程中,事先对软件所使用的第三方公共组件库进行检测,提前发现并防御潜在的反序列化漏洞尤为重要。目前已有的反序列化漏洞检测,主要有基于规则匹配和基于污点分析两种检测方法,前者采用白名单或者黑名单的方法无法发现未知的反序列化漏洞,而后者因其对漏洞调用链检测能力有限,故漏报和误报率高。为了弥补已有方法的缺陷,提出了一种基于图网络的Java反序列化漏洞调用链检测方法SerialFinder,该方法利用图结构充分表达反序列化漏洞调用链的语义信息,训练图同构网络模型,进而可以检测潜在的反序列化漏洞调用链。SerialFinder在多个第三方组件库进行验证,与业界最先进的Java反序列化漏洞调用链检测方法Gadget Inspector进行对比,结果表明,SerialFinder在三个公共组件库上的平均命中率为64%,比Gadget Inspector高31%。
-
关键词
漏洞检测
图数据库
java反序列化
图神经网络
调用链
-
Keywords
vulnerability detection
graph database
java deserialization
graph neural network
call chain
-
分类号
TP391
[自动化与计算机技术—计算机应用技术]
-
-
题名基于混合分析的Java反序列化漏洞检测方法
被引量:1
- 3
-
-
作者
郑鹏
沙乐天
-
机构
南京邮电大学计算机学院、软件学院、网络空间安全学院
-
出处
《计算机工程》
CAS
CSCD
北大核心
2023年第12期136-145,共10页
-
基金
国家自然科学基金面上项目(62072253)。
-
文摘
随着Java的类库越来越多,反序列化漏洞的类型和数量都急剧上升。Java反序列化漏洞中存在利用链,攻击者通常将其与任意命令漏洞结合控制服务器。人工检测反序列化链需要花费大量的精力,且依赖代码审计人员的专业知识。基于符号执行和污点分析提出一种自动检测方法,实现调用链检测工具Taint Gadget。通过解析字节码收集继承信息、传参信息和调用信息进行污点标记,筛选出入口函数和危险函数以生成控制流图。基于反序列化漏洞的传播特征并结合符号执行技术扩展控制流图,定义污点传播规则,对污染传播的显示流路径和隐式流路径进行约束,记录传播过程中调用链的类和敏感变量,通过动态的方法还原污染路径并进行验证。方法的实现基于ASM、Neo4j、Z3等工具,包括污点标记模块、污点传播模块和污点验证模块。在ysoserial数据集上的实验结果表明,Taint Gadget的静态命中率和运行时间分别为70.3%和78.4 s,动态命中率和运行时间分别为90.6%和20.8 s,相对T-Gadget Inspector和Gadget Inspector有效提高了静态和动态命中率,缩短了动态运行时间。
-
关键词
污点分析
java反序列化漏洞
静态分析
动态验证
符号执行
约束构建
-
Keywords
taint analysis
java deserialization vulnerability
static analysis
dynamic verification
symbolic execution
constraint construction
-
分类号
TP309
[自动化与计算机技术—计算机系统结构]
-
-
题名XML数据绑定及对象序列化的应用研究
被引量:14
- 4
-
-
作者
郭荷清
王增勋
-
机构
华南理工大学计算机科学与工程学院
-
出处
《计算机应用与软件》
CSCD
北大核心
2006年第5期65-66,110,共3页
-
文摘
分析研究了JAVA序列化和XML数据绑定的技术,突出了XML数据绑定在大多数场合上的应用优势。并且在一个电子政务的项目中,实现了XML数据绑定的模型。
-
关键词
java序列化
XML数据绑定
系统整合
-
Keywords
java Serialization XML data binding System Inetgration
-
分类号
TP311.13
[自动化与计算机技术—计算机软件与理论]
TP311.52
[自动化与计算机技术—计算机软件与理论]
-
-
题名Java反序列化漏洞探析及其修复方法研究
被引量:2
- 5
-
-
作者
徐江珮
王捷
蔡攸敏
刘畅
-
机构
国网湖北省电力公司电力科学研究院
-
出处
《湖北电力》
2016年第11期47-50,共4页
-
文摘
为避免利用Java反序列化漏洞影响企业核心业务、产生重大信息安全事件,详细介绍了Java反序列化漏洞的背景、原理、漏洞利用方法及工具,通过一个具体实例给出利用该漏洞进行服务器主机系统提权的详细步骤,并提出了多种漏洞修复方法。
-
关键词
java反序列化漏洞
漏洞利用
信息安全
-
Keywords
java deserialization vulnerability
vulnerability exploitation
information security
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名Java Web反序列化网络安全漏洞分析
- 6
-
-
作者
张晨
-
机构
厦门软件职业技术学院软件工程系
-
出处
《四川职业技术学院学报》
2022年第5期158-162,168,共6页
-
文摘
Web应用的网络安全漏洞层出不穷,用户的隐私和数据等信息安全问题面临着严重威胁。反序列化漏洞因其利用门槛低、影响范围广的特点,已成影响Java Web网络安全重要因素之一。文章结合实例分析了Java Web反序列漏洞的特点,阐述了Java Web反序列化网络安全漏洞分析、代码审计的基本思路,对于有效识别和修复反序列化漏洞,保障网络安全具有参考意义。
-
关键词
网络安全
漏洞分析
WEB安全
java反序列化
-
Keywords
network security
vulnerability analysis
web security
java unserialization
-
分类号
TP309.5
[自动化与计算机技术—计算机系统结构]
-
-
题名基于Java代理和HTTP协议的RMI框架的实现
被引量:3
- 7
-
-
作者
刘瑾
黄龙达
-
机构
南京航空航天大学金城学院信息工程系
国电南瑞科技股份有限公司电网分公司电力市场技术部
-
出处
《现代计算机》
2010年第2期137-139,144,共4页
-
文摘
代理模式为其他对象提供一种代理以控制对目标对象的访问,Java动态代理则为代理模式提供了一种简单易用的框架。基于HTTP协议的Java对象隧道技术实现对象消息传递,可以方便地把这个技术集成到应用系统中。在介绍Java代理模式和基于HTTP协议的Java对象隧道技术的基础上,提出了基于二者的一种RMI框架的设计与实现。该框架不但可以穿越企业内外网防火墙,而且使得部署RMI应用与普通Web应用一样简单。
-
关键词
java代理模式
HTTP协议
RMI
java序列化
-
Keywords
java Proxy Pattern
HTTP Protocol
RMI
java Serialization
-
分类号
TP393.02
[自动化与计算机技术—计算机应用技术]
-
-
题名Java数字签名在公文传输中的应用
- 8
-
-
作者
刘毅
王振辉
-
机构
国网西北规划评审中心工程技术部
西安翻译学院信息工程学院
-
出处
《价值工程》
2011年第33期170-171,共2页
-
文摘
随着OA技术在企业中的广泛应用,如何保障电子公文的完整性、惟一性、可追溯性问题,是电子政务中的研究热点和难点之一。针对上述问题,实现了一种用于解决电子公文防窜改、防抵赖,防仿冒的公文传输系统;针对该系统中的关键技术:消息摘要、数字签名等技术进行了详细的论述;使用Java序列化技术将公钥保存在关系数据库中改变了公钥由CA中心分发的传统方法,进一步优化了系统部署时间和成本。
-
关键词
数字签名
公钥
公文发送
java序列化
-
Keywords
digital signature
pubhc key, document delivery
java serialization technology
-
分类号
TP39
[自动化与计算机技术—计算机应用技术]
-
-
题名Java反序列化漏洞自动检测脚本设计
被引量:5
- 9
-
-
作者
钱劼
雷敏
邹仕洪
-
机构
北京邮电大学
灾备技术国家工程实验室
-
出处
《网络安全技术与应用》
2017年第8期66-68,共3页
-
基金
国家科技支撑计划课题资助(编号:2015BAH08F02)
-
文摘
Java反序列化漏洞会导致远程恶意代码执行。Java的序列化机制允许客户端程序将对象数据格式化为二进制数据流,在服务器端解析二进制流还原为对象。Apache Commons Collections类库的使用使反序列化方法未能对用户数据做有效过滤,导致攻击者可以在对象属性中构造恶意代码,通过反射机制在服务器端口执行代码进而控制服务器。本文以JBoss服务器为例设计自动化检测脚本,判断指定主机是否存在漏洞,并通过了实际测试。
-
关键词
java反序列化
远程代码执行
自动检测
-
分类号
TP312.2
[自动化与计算机技术—计算机软件与理论]
-
