什么是java序列化

一、序列化和反序列化的概念

把对象转换为字节序列的过程称为对象的序列化。

把字节序列恢复为对象的过程称为对象的反序列化。

对象的序列化主要有两种用途：

1） 把对象的字节序列永久地保存到硬盘上，通常存放在一个文件中；

2） 在网络上传送对象的字节序列。

二、什么场景会涉及序列化和反序列化的概念

在很多应用中，需要对某些对象进行序列化，让它们离开内存空间，入住物理硬盘，以便长期保存。比如最常见的是Web服务器中的Session对象，当有 10万用户并发访问，就有可能出现10万个Session对象，内存可能吃不消，于是Web容器就会把一些session先序列化到硬盘中，等要用了，再把保存在硬盘中的对象还原到内存中。

作者：烨枫_邱

在java中只要一个类实现了Serializable接口的类就被认为是序列化的类，这种类的对象就是序列化的对象

只有被序列化的数据才允许被存储到文件、数据库之中或者通过网络协议进行传输，没有被序列化的数据是不能存储到硬盘上，不能通过网络协议进行网络传输

java编程一直以来都是互联网软件开发市场上的主流开发语言，同样的这也就导致了只要发生漏洞的话，所有用java编程开发的软件都会出现问题，下面河南java培训http://www.kmbdqn.cn/就一起来了解一下，java编程语言中的序列化问题应该如何解决。

什么是序列化?自从1997年发布JDK1.1以来，序列化已经存在于Java平台中。

它用于在套接字之间共享对象表示，或者将对象及其状态保存起来以供将来使用(反序列化)。

在JDK10及更低版本中，序列化作为java.base包和java.io.Serializable方法的一部分存在于所有的系统中。

序列化的挑战和局限序列化的局限主要表现在以下两个方面：出现了新的对象传输策略，例如JSON、XML、ApacheAvro、ProtocolBuffers等。

1997年的序列化策略无法预见现代互联网服务的构建和攻击方式。

进行序列化漏洞攻击的基本前提是找到对反序列化的数据执行特权操作的类，然后传给它们恶意的代码。

序列化在哪里?如何知道我的应用程序是否用到了序列化?要移除序列化，需要从java.io包开始，这个包是java.base模块的一部分。

常见的使用场景是：实现Serializable接口和(可选)serialversionuid长整型字段。

使用ObjectInputStream或ObjectOutputStream。

使用严重依赖序列化的库，例如：Xstream、Kryo、BlazeDS和大多数应用程序服务器。

使用这些方法的开发人员应考虑使用其他存储和读回数据的替代方法。

EishaySmith发布了几个不同序列化库的性能指标。

在评估性能时，需要在基准度量指标中包含安全方面的考虑。

默认的Java序列化“更快”一些，但漏洞也会以同样的速度找上门来。

我们该如何降低序列化缺陷的影响?项目Amber包含了一个关于将序列化API隔离出来的讨论。

我们的想法是将序列化从java.base移动到单独的模块，这样应用程序就可以完全移除它。

在确定JDK11功能集时并没有针对该提议得出任何结果，但可能会在未来的Java版本中继续进行讨论。

通过运行时保护来减少序列化暴露一个可以监控风险并自动化可重复安全专业知识的系统对于很多企业来说都是很有用的。

Java应用程序可以将JVMTI工具嵌入到安全监控系统中，通过插桩的方式将传感器植入到应用程序中。

其他有用的安全技术在进行维护时，可以不需要手动列出一长串东西，而是使用像OWASPDependency-Check这样的系统，它可以识别出已知安全漏洞的依赖关系，并提示进行升级。

也可以考虑通过像DependABot这样的系统进行库的自动更新。

虽然用意很好，但默认的Oracle序列化过滤器存在与SecurityManager和相关沙箱漏洞相同的设计缺陷。

因为需要混淆角色权限并要求提前了解不可知的事物，限制了这个功能的大规模采用：系统管理员不知道代码的内容，所以无法列出类文件，而开发人员不了解环境，甚至DevOps团队通常也不知道系统其他部分(如应用程序服务器)的需求。

---