搜索到1143篇“ 反序列化“的相关文章
- 反序列化漏洞研究综述
- 2025年
- 随着互联网技术的高速发展,应用程序与服务之间的数据交换日趋攀升。序列化机制为跨平台数据传输和交互提供了便利,在网络编程、数据持久化和分布式系统等应用程序中应用广泛,由其产生的反序列化漏洞问题也逐渐引发关注。攻击者注入精心构造的恶意对象以利用该漏洞实现远程代码执行等恶意行为,造成数据泄露、系统崩溃、服务中断等后果,严重威胁应用安全和用户隐私安全。因此,亟须对反序列化漏洞的原理及检测等相关研究进行系统性梳理和分析。介绍了反序列化漏洞背景和发展历史,以典型案例来阐述反序列化漏洞的实现原理,提炼了反序列化漏洞检测的一般方法,对学术界和工业界相关研究工作的原理进行了剖析。最后,根据相关技术的发展现状,讨论分析了反序列化漏洞未来可行的研究方向。
- 汪松丁婉蒙李宇薇沈毅李阳潘祖烈
- 关键词:网络安全漏洞检测
- 一种Java反序列化漏洞防御方法及系统
- 本发明涉及一种Java反序列化漏洞防御方法及系统,属于计算机技术领域,该方法包括:获取程序中的一个或多个反序列化点;根据反序列化点生成对象所属的类确定根节点,并基于根节点构建反序列化点对应的语义结构树;基于遍历语义结构树...
- 杨珉刘号召王强叶茂松
- 反序列化漏洞防护方法、装置、设备和介质
- 本公开提供了一种反序列化漏洞防护方法、装置、设备和介质,涉及信息安全技术领域。该方法包括:获取应用程序的代码;提取应用程序的代码中的所有的类,得到第一类集合;至少从第一类集合中筛选出符合可信来源条件的类,得到第二类集合;...
- 旷亚和程佩哲魏兴曹琳虹
- 一种数据序列化与反序列化方法
- 本发明实施例提供了一种数据序列化与反序列化方法,包括:设计用于描述ROS消息的Protobuf数据结构;将ROS消息的数据映射到Protobuf消息结构中,将其序列化为二进制格式;通过ROS的话题发布序列化的Protob...
- 武钰喻天佑董昭轩
- 基于模糊测试的Java反序列化漏洞挖掘
- 2025年
- 随着反序列化技术在Java Web应用开发中的广泛应用,针对Java反序列化机制的攻击也日益增多,已严重威胁Java Web应用的安全性。当前主流的黑名单防范机制无法有效防御未知的反序列化漏洞利用,而现有的Java反序列化漏洞挖掘工具大多依赖静态分析方法,检测精确度较低。文章提出一种基于模糊测试的Java反序列化漏洞挖掘工具DSM-Fuzz,该工具首先通过对字节码进行双向追踪污点分析,提取所有可能与反序列化相关的函数调用链。然后,利用基于TrustRank算法的函数权值分配策略,评估函数与反序列化调用链的关联性,并根据相关性权值对模糊测试种子分配能量。为进一步优化测试用例的语法结构和语义特征,文章设计并实现了一种基于反序列化特征的种子变异算法。该算法利用反序列化的Java对象内部特征优化种子变异过程,并引导模糊测试策略对反序列化漏洞调用链进行路径突破。实验结果表明,DSM-Fuzz在漏洞相关代码覆盖量方面较其他工具提高了约90%。此外,该工具还在多个主流Java库中成功检测出50%的已知反序列化漏洞,检测精确度显著优于其他漏洞检测工具。因此,DSM-Fuzz可有效辅助Java反序列化漏洞的检测和防护。
- 王鹃张勃显张志杰张志杰谢海宁王洋
- 关键词:污点分析漏洞挖掘
- 一种反序列化攻击检测方法、装置及电子设备
- 本申请实施例提供了一种反序列化攻击检测方法、装置及电子设备,涉及信息安全技术领域,该方法包括:确定接收待处理反序列化请求的业务接口,作为待处理接口;基于待处理反序列化请求携带的序列化数据,提取待处理反序列化请求所指示的指...
- 王滨何杰挺许光全赵曦滨万里余超
- 检测反序列化漏洞的方法、装置、设备和介质
- 本申请实施例公开了一种检测反序列化漏洞的方法、装置、设备和介质,以解决现有技术通过黑白名单方式防御反序列化漏洞周期长,无法满足信息安全与网络安全的需要的技术问题。该方法包括:在接收到请求包的情况下,对所述请求包进行解析,...
- 吴嘉炫
- 数据序列化、反序列化方法、电子设备及存储介质
- 本申请提供了一种数据序列化、反序列化方法、电子设备及存储介质,通过在进行抽象语法树的序列化过程中按照节点类型进行内存池分配,并以此为基础生成序列化存储表,并且序列化存储表中仅针对抽象语法树中的每个节点进行记录,对于指针仅...
- 朱海宇韩琦
- 基于反序列化的字节流数据解析方法及装置
- 本说明书实施例提供了一种基于反序列化的字节流数据解析方法及装置,其中,方法包括:定义通用解析接口,加载XML解析配置文件,基于所述XML解析配置文件,反序列化自动构建DataFormat对象;通过通用解析接口获取带解析的...
- 杨安邓凯求李敏李杰
- 数据对象的序列化方法、反序列化方法及电子设备
- 本申请提供了一种数据对象的序列化方法、反序列化方法及电子设备,涉及云计算技术领域,该方法包括:在微服务框架下数据发送方发送数据对象之前,若数据对象的元数据已经发送至数据接收方,则将元数据的唯一标识和数据对象的待发送的字段...
- 陈刚
相关作者
- 高英

- 作品数:137被引量:122H指数:6
- 供职机构:华南理工大学
- 研究主题:存储介质 介质 大数据 服务器 计算机
- 尹全军

- 作品数:212被引量:420H指数:9
- 供职机构:国防科学技术大学
- 研究主题:计算机设备 计算机生成兵力 仿真数据 存储介质 作战仿真
- 张劲松

- 作品数:407被引量:0H指数:0
- 供职机构:深圳市腾讯计算机系统有限公司
- 研究主题:存储介质 区块 数据处理方法 网络 交易数据
- 刘欣然

- 作品数:141被引量:217H指数:7
- 供职机构:北京邮电大学
- 研究主题:虚拟计算环境 感知 网格监测 云计算 虚拟机
- 姜开达

- 作品数:75被引量:132H指数:7
- 供职机构:上海交通大学
- 研究主题:网络安全 校园网 交换数据 镜像 漏洞