序列化 - 如何保护序列化的JAVA对象？ [英] Serialization - How to secure a serialized JAVA object?

问题描述

如果通过网络发送序列化对象，如何保护序列化对象？
我怀疑黑客可能会打断/破解我的数据。

How can I secure the serialized object if I send the serialized object over the network? I doubt that hackers may interrupt/hack my data.

任何人都可以详细说明如何实现这个目标吗？

can anyone tell in detail about how to implement this?

推荐答案

这两个演示文稿提供了攻击者如何有效篡改Java序列化流的想法：

These 2 presentations give ideas on how effectively attackers can tamper a Java serialized stream:

1. https://www.owasp.org/images/ e / eb / OWASP_IL_2008_Shai_Chen_PT_to_Java_Client_Server_Apps.ppt

http://www.andlabs.org/presentations/Attacking_JAVA_Serialized_Communication-slides.pdf

还存在风险注入意外行为并注入代码，以防服务器的类路径中存在易受攻击的类。查看此文章：

There is also the risk of injecting unsuspected behavior and inject code in case a vulnerable class exists on the server's classpath. See this article:

前瞻Java反序列化

这篇关于序列化 - 如何保护序列化的JAVA对象？的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！