shiro反序列化与fastjson反序列化漏洞原理

最新推荐文章于 2024-05-20 23:13:23 发布
最新推荐文章于 2024-05-20 23:13:23 发布
阅读量639 收藏 7
点赞数 13
分类专栏: 漏洞 文章标签: 网络安全 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76786857/article/details/135199970
版权

01 shiro反序列化漏洞的原理

Shiro反序列化漏洞的原理是攻击者通过精心构造恶意序列化数据,使得在反序列化过程中能够执行任意代码。Shiro是一个Java安全框架,提供了身份验证、授权、加密和会话管理等功能。其中,Shiro的序列化功能可以将对象序列化为字节流,以便在不同的系统之间进行传输或者持久化存储。

然而,当Shiro反序列化一个恶意构造的序列化数据时,由于反序列化过程中没有对数据进行正确的验证和过滤,攻击者可以插入恶意的代码,这些代码在反序列化时会被执行。这可能导致攻击者获得目标系统的控制权,并进行恶意操作,如窃取数据、破坏系统等。

02 fastjson反序列化漏洞原理

Fastjson是一个Java语言编写的高性能功能完善的JSON库,它提供了JSON的序列化和反序列化功能。Fastjson的反序列化原理主要基于Java的反射机制和动态代理技术。

1.反射机制:Fastjson通过Java的反射机制获取类的字段、方法和构造器等信息,以便将JSON数据映射到对应的Java对象。在反序列化过程中,Fastjson会根据JSON数据的键值对,通过反射调用Java对象的setter方法将JSON数据转换为Java对象。

2.动态代理:Fastjson使用动态代理技术实现反序列化过程中的自动装配。当使用Fastjson反序列化一个对象时,Fastjson会为该对象创建一个动态代理对象,并通过该代理对象调用Java对象的setter方法将JSON数据转换为Java对象。这种自动装配的方式可以避免手动编写装配代码,提高开发效率。

3.自定义反序列化:除了默认的反序列化方式,Fastjson还支持自定义反序列化。用户可以通过实现一个特定的接口(如Deserializer接口)来自定义反序列化逻辑。在反序列化过程中,Fastjson会根据用户实现的自定义逻辑将JSON数据转换为Java对象。

廾匸0705
关注
  • 13
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Shiro反序列化漏洞检测工具
01-05
Apache Shiro是一款强大的Java安全框架,它为...通过了解Shiro反序列化漏洞原理和防范措施,我们可以更好地保护我们的系统免受此类攻击。同时,使用提供的检测工具进行定期扫描,也能及时发现并修复潜在的安全隐患。
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
java alibaba fastjson自定义序列化反序列化(教你解决问题思路)
HumorChen的博客
12-09 2357
然后看当前目录这边可以看到上面有个Serializer包,是序列化器的,点进去看,这些好的东西分类存的是十分规范的,所以很好找 往下翻阅,可以看到有ObjectSerializer或者ObjectWritter的东西,点进去看源代码上的注释 自定义的示范代码如下,他定义了个ResultCode类,然后定义了他的序列化器类ResultCodeSerilaizer,实现了对象序列化接口ObjectSerializer ,然后自定义逻辑对这个对象进行序列化,他是直接写入ResultCode的int类型的valu
从零开始学习fastjson反序列化
mingyqf的博客
03-21 3825
转至:https://www.freebuf.com/vuls/276812.html 打大狼 2020-03-31 14:00:36 403083 2 fastjson使用简介 fastjson项目地址:https://github.com/alibaba/fastjson 用来实现Java POJO对象与JSON字符串的相互转换,比如: User user = new User(); user.setUserName("李四"); user.setAge(24); String userJson
fastjson反序列化漏洞原理
最新发布
m0_73649671的博客
05-20 961
fastjson反序列化漏洞原理
【springboot进阶】springboot集成fastjson(二)自定义序列化/反序列化
06-15 1万+
介绍fastjson2如何使用自定义序列化和反序列化,配合日常接触的场景举例代码中如何实现,如日期型转化为毫秒数、单位元转分等。
Fastjson反序列化
Christ1na的博客
11-15 1万+
fastjson 是阿里巴巴的开源JSON解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean。fastjson是目前java语言中最快的json库,其功能完备且使用简单,因而使用非常广泛。自fastjson在1.2.24版本爆出第一次漏洞到至今,有着多次的安全补丁更新和绕过。
自定义Fastjson枚举类序列化、反序列化 --- 通过自定义Module方式实现
wskws的专栏
02-03 2098
Getter@Setter@ToString@GetterMALE(1, "male", "男"),FEMALE(2, "female", "女");@JsonValue // jackson 包中的注解@OverridePOSTGET等,下面以POST和GET方式举例POST自定义注解用于标识枚举字段code值(可以使用Jackson自带的@JsonValue注解,也可以单独自定义注解),注解标识的字段类型非固定类型,可为IntegerLongString。
fastjson2自定义反序列化(ObjectReader)包含不同类型的List
qq_43812006的博客
07-05 3219
自定义fastjson反序列规范,与业务相结合。
shiro反序列化漏洞暴力破解漏洞检测工具
09-14
1.shiro反序列化漏洞、暴力破解漏洞检测工具源码 2.shiro反序列化漏洞、暴力破解漏洞检测工具jar包 3.shiro反序列化漏洞、暴力破解漏洞检测工具启动方法 4.shiro反序列化漏洞、暴力破解漏洞检测工具使用方法 5.shiro...
FastJson反序列化
06-17
[{"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}, {"listA":[{"id":"fds","name":"张三"},{"id":"fds","name":"李四"}],"test":"432"}] 数组里面封装数组的反序列化方法,通过两个bean,进行封装
Go-Shiori是用Go语言编写的一个简单的书签管理器
08-14
Shiori是用Go语言编写的一个简单的书签管理器
shiro反序列化工具,加强版
12-27
在"shiro反序列化工具,加强版"这个主题中,我们主要关注的是Shiro框架中可能存在的反序列化漏洞以及如何利用和防范这些漏洞反序列化漏洞是由于程序在接收到网络传输的数据后,将其从二进制流恢复为对象时没有...
Shiro反序列化漏洞Shiro版本升级资源
06-22
shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 测试工具下载地址 ... 反序列化漏洞是如何产生的?...
java:fastjson,jackson自定义反序列化器设计暨jackson反序列化时出现StackOverflowError异常的原因分析
10km的专栏
05-04 1692
方法实现字段解析,在字段解析过程中自动识别snake-case的数据库字段名转为camel-case的JavaBean字段名(参见findProperty方法),并在最后调用setter方法赋值modified,initialized字段确保它们的值与原始输入值一致。字段的值是不确定的。取决于这两个字段被反序列化时的顺序,如果它们被在放在最后反序列化,那它们的值是正确的,否则它们的值与原始输入值肯定是不一致的。为基类,BeanDeserializer是Jackson默认的Java Bean反序列化实现。
0x04 反序列化
weixin_43263566的博客
05-10 232
0x04 反序列化
Fastjson反序列化漏洞
热门推荐
LJH1999ZN的博客
03-31 3万+
一、fastjson简介 fastjson是java的一个库,可以将java对象转化为json格式的字符串,也可以将json格式的字符串转化为java对象 提供了 toJSONString() 和 parseObject() 方法来将 Java 对象与 JSON 相互转换。调用toJSONString方 法即可将对象转换成 JSON 字符串,parseObject 方法则反过来将 JSON 字符串转换成对象。 二、fastjson反序列化漏洞原理反序列化的时候,会进入parseField方法,进
探索ShiroFastjson结合的新可能 - [ShiroAndFastJson](https://gitcode.com/safe6Sec/ShiroAndFastJson?utm_source=artical_gitcode)
gitblog_00001的博客
04-05 309
探索ShiroFastjson结合的新可能 - ShiroAndFastJson 项目地址:https://gitcode.com/safe6Sec/ShiroAndFastJson 在软件开发中,安全管理和数据处理是两个至关重要的环节。Apache ShiroFastjson都是Java世界里的明星工具,前者专注于提供认证、授权和会话管理,后者则是强大的JSON解析库。今天,我们要介绍一个独...
shiro反序列化漏洞原理
06-08
攻击者可以利用 Shiro 反序列化漏洞实现远程命令执行、文件读取、目录遍历等攻击行为。为了防范此类漏洞,建议使用最新版本的 Shiro,避免使用弱密码和默认的加密算法,使用其他安全机制如 CSRF 防护、输入验证等...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

廾匸0705

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值