Basic Java Deserialization (ObjectInputStream, readObject)
Bu POST'ta java.io.Serializable
kullanarak bir örnek açıklanacaktır.
Serializable
Java Serializable
arayüzü (java.io.Serializable
, sınıflarınızın serileştirilmesi ve deserileştirilmesi için uygulaması gereken bir işaretçi arayüzüdür. Java nesne serileştirmesi (yazma) ObjectOutputStream ile yapılır ve deserileştirme (okuma) ObjectInputStream ile yapılır.
Serileştirilebilir bir Person sınıfı ile bir örneğe bakalım. Bu sınıf readObject fonksiyonunu aşar, böylece bu sınıfın herhangi bir nesnesi deserileştirildiğinde bu fonksiyon çalıştırılacaktır.
Örnekte, Person sınıfının readObject fonksiyonu, evcil hayvanının eat()
fonksiyonunu çağırır ve bir Köpek'in eat()
fonksiyonu (bir sebepten dolayı) bir calc.exe çağırır. Bu hesap makinesini çalıştırmak için bir Person nesnesini nasıl serileştirip deserileştireceğimizi göreceğiz:
Aşağıdaki örnek https://medium.com/@knownsec404team/java-deserialization-tool-gadgetinspector-first-glimpse-74e99e493649 adresinden alınmıştır.
Sonuç
Bu çok temel örnekte görebileceğiniz gibi, buradaki "açıklık" readObject fonksiyonu diğer savunmasız fonksiyonları çağırdığı için ortaya çıkmaktadır.
Last updated