课程咨询 :186 8716 1620      qq:2066486918

昆明Java培训 > 达内新闻 > 云计算时代要先掌握Java开发
  • 云计算时代要先掌握Java开发

    发布:昆明Java培训      来源:达内新闻      时间:2016-02-28

  • 云服务已经越来越火爆,你还在等什么?昆明java培训给你一个机会创造一个更好的职业发展前景。

    Java作为云计算的主流语言,简单易用、性能高、安全性好,这也可以进一步发挥出云计算可靠性好、拓展性强的优势。此外,java 对于虚拟技术的支持也能完全满足云计算需要。所以云计算时代java升温快是有原因的,要想进入云计算行业,先要掌握java开发。选择西安java 培训前景好,西安达内带你快速领略java开发的魅力。

    作为国内首屈一指的IT培训机构,昆明java培训在java 培训方面经验丰富,达内java培训课程更是经过了千锤百炼,由上万家企业和数十万名学员验证。达内java 培训课程是教研部专家基于对数万家企业用人需求调研分析精心设置的,培养出来的学员不仅能熟练掌握并应用java技术,还更符合企业的用人需求。西安达内作为达内集团在西安的直属机构,不愧为西安最好的java 培训机构。

    依靠雄厚的资金和实力,达内还打造了一支超豪华的java师资团队,主讲师都是有十年以上项目开发和管理经验的技术专家,全部来自于微软、IBM 、华为、东软等知名企业。在授课方面,达内采取专家组合的方式,每位讲师都只负责讲授自己最熟悉的模块,凭借出色的技术能力和丰富的授课经验给学员最好的指导。

    昆明java培训机构选达内,学习最有用的java开发技术,做云计算时代企业最需要的人才。昆明java 培训班的小伙伴你们知道,Java序列化允许开发者将Java 对象保存为二进制格式,以便将该对象持久化到一个文件中或将其在网络中进行传递嘛?

    远程方法调用 (RMI)使用序列化作为客户端与服务器端之间的通信媒介。当服务从客户端接收二进制数据,以及将输入的数据进行解序列化去构造 Java实例时,就会产生多种安全问题。

    昆明java 培训小编本文中关注其中的一种问题:骇客可能序列化另一个类的实例,并将其传给服务程序。那么服务程序就会解序列化该恶意对象,并很可能将该对象强制转换为服务所期望得到的合法类型,而这将导致异常的发生。然而,该异常对于确保数据安全性则显得太晚了。本文解释了为什么要以及怎样去实现一种安全的序列化。

    脆弱的类

    你的服务程序不可能反序列化任意类的对象。为什么不能呢? 简单的回答是:因为在服务器端的类路径中可能存有被骇客利用的脆弱类。这些类所包含的代码为骇客造就了拒绝服务(DOS)的条件,或者--在极端情况下--会允许骇客注入任意代码。

    你可能会相信存在这种攻击的可能性,但考虑到一个典型的服务器端程序的类路径中存在太多的类,不仅包含你自己的代码,还包括Java 核心类库,第三方的类库 ,以及其它的中间件或框架中的类库。另外,在应用程序的生命周期中,类路径可能会被改变,或者为了应对底层运行环境的变化,应用程序的类路径也可能被修改。当试图去利用这样的弱点时,通过传送多个序列化对象,骇客能够将这些操作组合到一块。

    昆明java培训机构应该强调一下,仅当满足如下条件时,服务才会解序列化一个恶意对象:

    1. 恶意对象的类存在于服务器端的类路径中。骇客不可能随便地传递任意类的序列化对象,因为应用服务可能无法加载这个类。

    2. 恶意对象的类要么是可序列化的,要么是可外部化的。(即,服务器端的这个类要实现java.io.Serializablejava.io.Externalizable)

    另外,通过从序列化流中直接复制数据,在不调用构造器的情况下,解序列化操作就能产生对象树,所以骇客不可能执行序列化对象类的构造器中的Java 代码。

    但骇客还有其它途径在服务器端去执行代码。无论JVM在何时去解序列化一个对象,都将实现如下三个方法中的一个,都将调用并执行该方法中的代码:

    1. 方法readObject(),当标准的序列化机制不适用时,开发者一般就会用到该方法。例如,当需要对transient 成员变量进行赋值时。

    2. 方法readResolve(),一般用于序列化单例对象。

    3. 方法readExternal(),用于外部化对象。

    所以,如果在你的类路径中存在着使用上述方法的类,你就必须意识到骇客可能会在远程调用这些方法。此类攻击在过往曾被用于破坏Applet安全沙箱 ;同样地,相同的攻击技术也可用于服务器端应用。

    昆明java培训建议继续读下去,将会看到如何才能只允许应用服务对其期望的类的对象进行解序列化。

    推荐文章

上一篇:三种开源的Java EE应用服务器对比

下一篇:达内是Java学员的首选机构

最新开班日期  |  更多

Java--零基础全日制班

Java--零基础全日制班

开班日期:11/30

Java--零基础业余班

Java--零基础业余班

开班日期:11/30

Java--周末提升班

Java--周末提升班

开班日期:11/30

Java--零基础周末班

Java--零基础周末班

开班日期:11/30

  • 网址:http://km .java.tedu.cn      地址:昆明市官渡区春城路62号证券大厦附楼6楼
  • 课程培训电话:186 8716 1620      qq:2066486918    全国服务监督电话:400-827-0010
  • 服务邮箱 ts@tedu.cn
  • 2001-2016 达内国际公司(TARENA INTERNATIONAL,INC.) 版权所有 京ICP证08000853号-56