发现Hessian最新的3.2.0版本存在反序列化的Bug - Java、咖啡与茶 - ITeye博客

`

linliangyi2007

浏览: 1012636 次
性别:
来自: 福州

最近访客更多访客>>

anyitzy

pos3721

ymgjava

winco304

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

guanxin2012：大神，您好。非常感谢您贡献了IKExpression。我们现在 ...
分享开源表达式解析器IK-Expression2.0
qqgigas： LZ,public boolean createUser(LD ...
Sun Directory Server/LDAP学习笔记（二）——API说明及代码样例
gao_shengxian： Hibernate: update T_GX_TEST set ...
优雅Java编程之使用Hibernate存储Oracle Spatial对象
a78113534：感谢大神，在安卓里面调用成功了。
发布IK Expression开源表达式解析器 V2.1.0
majiedota：加油
来自开源支持者的第一笔捐赠

发现Hessian最新的3.2.0版本存在反序列化的Bug

博客分类：

程序人生

阅读更多

今天升级Hessian包时，发现一个Bug，对于日期对象java.sql.Timestamp设置为null时，hessian的3.2.0版client端在反序列化时出现bug，会抛出类似一下的异常：

com.caucho.hessian.client.HessianRuntimeException: com.caucho.hessian.io.HessianFieldException: com.shine.ermp.dto.UserAccountDTO.invalidDate: 
java.sql.Timestamp cannot be assigned from null

目前hessian的官网还没有对该bug进行修订，只好退回版本3.1.6！（无奈的解决方法啊～～）

分享到：

山寨版的简易表达式解析器 | 有一点点自恋和臭屁的嫌疑

2008-12-22 16:07
浏览 7866
评论(1)
论坛回复 / 浏览 (1 / 5374)
查看更多

评论

1 楼 liyao20050101 2009-01-13

确实有此问题

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

hessian学习基础篇——序列化和反序列化: 在IT领域，序列化和反序列化是两个关键的概念，特别是在网络通信、数据持久化以及对象存储中。本文将深入探讨Hessian框架的基础知识，它是一个高效的二进制序列化协议，广泛应用于Java和.NET之间跨语言通信。通过...

hessian-3.2.0源码: hessian-3.2.0源码，在做分布式交互时，可能要重写hessian

S25-hessian反序列化1: 【S25-Hessian反序列化1】是一个关于Java中Hessian序列化库的讨论，主要涉及Hessian与原生Java序列化的差异以及在Spring框架中的应用。Hessian是一种二进制序列化协议，旨在提高远程过程调用(RPC)的效率。与原生Java...

Nacos JRaft Hessian 反序列化 RCE 分析.pdf: ### Nacos JRaft Hessian 反序列化 RCE 分析 #### 一、背景介绍 Nacos 是阿里巴巴开源的一款易于构建云原生应用的动态服务发现、配置管理和服务管理平台。JRafT 是 SOFAStack 微服务平台中的一个分布式一致性组件...

Hessian 的字段序列化小记: 在序列化过程中，Hessian会将Java对象转换为字节流，反序列化时则将字节流恢复为原始对象。 1. **Hessian序列化流程** - 首先，Hessian序列化器会遍历Java对象的所有字段，对每个字段进行处理。 - 对于基本类型，...

hessian序列化规范: 3. 自定义Hessian序列化器以支持自定义类型的序列化和反序列化。总结，Hessian序列化规范是分布式系统中的重要工具，理解其原理和使用方法，能够帮助我们构建高效、可靠的跨网络通信方案。然而，任何工具都有其...

removal RCE、Hessian 反序列化、Yaml反序列化、密码解密、部分常用敏感路径(漏洞更新截止2024.9.12): removal RCE、Hessian 反序列化、Yaml反序列化、密码解密、部分常用敏感路径(漏洞更新截止2024.9.12)

Hessian多个版本打包下载: Hessian3.1.6是Hessian的一个早期版本，主要提供基础的序列化和反序列化功能，支持Java和C++之间的跨平台通信。它采用了高效的二进制格式，比XML或JSON更节省网络带宽，因此在处理大量数据传输时具有优势。然而，这...

hessian4.0.7结合spring2.5.6的bug: 在"NULL"的描述中，我们无法获取到具体的bug细节，但通常当开发者提到某个版本的结合存在bug时，这可能涉及到兼容性问题、序列化/反序列化错误、异常处理不当或者性能下降等。在这种情况下，我们可以根据一般经验来...

Hessian 2.0序列化协议规范.docx: 《Hessian 2.0序列化协议规范》在分布式计算和网络通信中，数据的序列化和反序列化是至关重要的环节。Hessian 2.0是一种高效的二进制序列化协议，它旨在减少网络传输的数据量，提高数据交换的效率。本文将详细介绍...

浅谈Java序列化和hessian序列化的差异: 同时，Hessian序列化也存在一定的不一致性，例如遇到通过Collections.synchronizedMap得到的map时。应用场景那么，在什么情况下应该使用Java序列化，而什么情况下应该使用Hessian序列化？如果你需要序列化复杂...

基于混合分析的Java反序列化利用链挖掘方法.docx: 此外，Fastjson、Jackson、Hessian、XStream等流行的第三方反序列化库也被发现存在反序列化漏洞，当处理攻击者可控的数据时，可能导致恶意代码被执行。在利用Java反序列化漏洞时，攻击者通常需要构建一系列的代码...

hessian的jar包: webservice的一种轻量级实现，能在普通的web容器上运行

Hessian: 2. **简单类型支持**：Hessian支持基本的Java数据类型，如整型、浮点型、字符串、日期等，并且可以序列化和反序列化复杂对象。 3. **流式传输**：Hessian协议允许数据分块传输，这意味着服务端可以立即响应部分结果...

hessian-4.0.51-src: 例如，`Hessian2Input`和`Hessian2Output`类分别用于反序列化和序列化对象。它们通过读写字节流来处理各种数据类型，包括基本类型、对象引用、集合和自定义类等。 2. **HTTP通信**：在"**com.caucho.hessian.client...

hessian java +c# 数据测试: 在Java端定义的类可以通过Hessian的`Hessian2Output`进行序列化，C#端的类则需要通过HessianNet的解码器来反序列化。至于"List"和"Map"，它们在Hessian中也有特别的处理方式。Hessian可以序列化和反序列化List和...

Hessian应用: 这样，客户端通过网络发送一个Hessian序列化的请求，服务端接收后反序列化为本地对象，然后执行相应的操作，再序列化结果返回给客户端。在实际应用中，Hessian主要应用于以下场景： 1. **分布式服务调用**：通过...

基于java序列化的Netty编解码技术: 因此，需要确保序列化和反序列化使用的Java版本相同，或者确保类的序列化版本ID（`serialVersionUID`）保持一致。 4. **Netty的自定义编解码器**：除了使用内置的`SerializationCodec`，Netty还支持自定义编解码器...

Global site tag (gtag.js) - Google Analytics