【代码扫描修复】不安全的反序列化攻击(高危)_java反序列化漏洞修复

最新推荐文章于 2024-06-27 07:16:34 发布
最新推荐文章于 2024-06-27 07:16:34 发布
阅读量720 收藏 18
点赞数 22
分类专栏: 2024年程序员学习 文章标签: 安全 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_83739434/article/details/137732203
版权
本文详细探讨了Java中的序列化和反序列化概念,解释了反序列化漏洞的危害及其产生的原因,通过两个攻击链的复现展示了漏洞利用原理。针对此问题,文章提出了白名单校验的反序列化修复方案,包括自定义校验和使用工具包中的校验方法,以确保代码安全。
摘要由CSDN通过智能技术生成

为什么这个漏洞影响如此之大,却依然让人防不胜防?

2.2 什么是序列化、反序列化?

序列化: 将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。

反序列化: 将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。

数据格式 序列化后的信息样例
二进制 在这里插入图片描述

|
| xml | 在这里插入图片描述
|
| json | {“name”:“ACGkaka”,“age”:20} |
| yaml | !!com.demo.user.Person {age: 20, name: ACGkaka}\n |

补充:Java 对象序列化为二进制
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;

/\*\*
 \* Java 对象序列化为二进制
 \*/
public class Test {
    public static void main1(String[] args) {
        Person obj = new Person("ACGkaka", 20);
        try {
            FileOutputStream fileOut = new FileOutputStream("D:\\object.bin");
            ObjectOutputStream out = new ObjectOutputStream(fileOut);
            out.writeObject(obj);
            out.close();
            fileOut.close();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}
2.3 序列化/反序列化库

如果想将对象序列化为二进制格式(或者反序列化为对象),直接使用 JDK 自带的 ObjectOutputStreamreadObjectwriteObject 方法即可。如果想与其他格式(xml、json、yaml)相互转换,一般需要引入 jacksonsnakeyaml 等其他开源组件,使用开源组件中提供的库方法。

库名称 序列化支持的格式
jdk 二进制、xml
xstream xml、json
jackson xml、json
fastjson json
gson json
json-io json
flexson json
snakeyaml yaml
2.4 反序列化漏洞

我们需要明确的一点是:Java 的序列化和反序列化本身并不存在问题,但如果 Java 应用对用户的输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,而非预期的对象在产生过程中就有可能带来任意代码执行的后果。

所以,这个问题的根源在于类 ObjectInputStream 反序列化时,没有对生成的对象类型做限制。正因如此,Java 提供的标准库及大量第三方公共类库成为反序列化漏洞利用的关键。

三、漏洞复现:攻击链1

3.1 依赖版本

JDK版本: 1.8.0_60

commons-collections版本: 3.2.1(从 3.2.2 开始增加了安全校验,需要手动设置 System.setProperty(“org.apache.commons.collections.enableUnsafeSerialization”, “true”);)

在这里插入图片描述

<dependency>
	<groupId>commons-collections</groupId>
	<artifactId>commons-collections</artifactId>
	<version>3.2.1</version>
</dependency>
3.2 代码复现
import com.alibaba.fastjson2.JSON;
import org.apache.commons.collections.Transformer;
import org.apache.commons.collections.functors.ChainedTransformer;
import org.apache.commons.collections.functors.ConstantTransformer;
import org.apache.commons.collections.functors.InvokerTransformer;
import org.apache.commons.collections.keyvalu
最低0.47元/天 解锁文章
2401_83739434
关注
  • 22
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全...及时的漏洞检查和修复是防止此类攻击的关键步骤,而"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"这样的工具为安全管理人员提供了有力的辅助手段。
java反序列化漏洞-验证.rar
06-25
1. **Java反序列化漏洞**:当不信任的数据源提供的序列化对象被反序列化时,如果对象的类包含危险的方法(如`ObjectInputStream.readObject()`),攻击者可以构造特殊的序列化数据来触发这些方法,执行任意代码。...
JAVA序列化和反序列化漏洞详解(小白必看)
weixin_61638307的博客
03-11 707
Java序列化:将Java对象通过writeObject()方法转换为字节流并写入磁盘中。Java反序列化:将字节流通过readObject()方法读取出来并转换为对象。
代码扫描修复】不安全反序列化攻击高危
ACGkaka的博客
11-07 2045
代码扫描修复】不安全反序列化攻击高危
Java 中的序列化安全漏洞梳理(二)
weixin_49376454的博客
06-27 932
Java 中的序列化安全漏洞梳理(二)
Java安全研究——反序列化漏洞之CC2链
weixin_43889136的博客
05-10 1530
0x01
反序列化漏洞漏洞复现
来日可期的博客
09-05 3465
反序列化漏洞是指应用程序在对已经序列化的数据进行反序列化时,由于缺少必要的验证或过滤,导致恶意数据被成功地反序列化为对象并被执行。攻击者可以构造恶意数据来利用这个漏洞攻击方式通常是通过网络等传输渠道向目标应用程序发送序列化数据,使得应用程序在反序列化时执行了攻击者所构造的恶意代码,进而导致应用程序受到攻击
代码扫描修复】不安全反序列化攻击高危)_java反序列化漏洞修复(2)
2401_84132565的博客
05-13 737
黑名单检测,classname是传入类的全名,denyList是黑名单。// 可以多次添加校验内容,只要满足其中一个就会正常反序列化。* 复现反序列化漏洞攻击链二)
基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用
最新发布
07-01
【作品名称】:基于 Java 的亿赛通电子文档安全管理系统XStream反序列化漏洞任意文件上传利用 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期...
java反序列化漏洞利用工具WebLogicExploit_weblogic图形化漏洞利用工具
09-01
综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 ...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞探析及其修复方法研究.pdf
07-02
Java反序列化漏洞探析及其修复方法研究.pdf
Java反序列化漏洞介绍书籍
08-17
Java反序列化漏洞是软件安全领域的一个重要话题,特别是在Java应用程序中。反序列化是将已序列化的对象数据转换回其原始对象状态的过程。当这个过程处理不当时,恶意用户可以利用这些漏洞来执行任意代码,从而导致...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
应用安全系列之二十五:不安全反序列化
jimmyleeee的专栏
04-07 1440
序列化过程是将一个对象转换成一种数据格式以有利于存储或者传输。而反序列化则是一个相反的过程,把一定格式的数据转变成一个对象。比较流行的数据格式包括:XML,JSON。 这种反序列化过程,当出现输入的数据可以被篡改或者控制时,他可以用于发起攻击攻击的结果包括但不限于:DOS、访问控制、以及RCE等。 DOS攻击Java语言为例,如果构造的一个对象里有一个数组对象,而数组对象的大小被改为整形的最大值,就会导致在反序列化时,分配一个超大的数组,进而导致OutOfMemoryError 错误。 访问控
java反序列化-RMI
weixin_40151476的博客
03-04 904
RMI(Remote Method Invocation),远程方法调用。跟RPC差不多,是java独立实现的一种机制。实际上就是在一个java虚拟机上调用另一个java虚拟机的对象上的方法。RMI依赖的通信协议为JRMP(Java Remote Message Protocol ,Java 远程消息交换协议),该协议为Java定制,要求服务端与客户端都为Java编写。这个协议就像HTTP协议一样,规定了客户端和服务端通信要满足的规范。(我们可以再之后数据包中看到该协议特征)。
Java 安全反序列化漏洞
hl1293348082的专栏
03-30 7991
1.序列化与反序列化: 序列化与反序列化对于 Java 程序员来说,应该不算陌生了,序列化与反序列化简单来说就是 Java 对象与数据之间的相互转化。 那么对于完全面向对象的 Java 语言来说为什么要有序列化机制? 实质上,序列化机制并不只局限于 Java 语言,序列化的本质是内存对象到数据流的一种转换,我们知道内存中的东西不具备持久性,但有些场景却需要将对象持久化保存或传输。例如缓存系统中存储了用户的 Session,如果缓存系统直接下线,带系统重启后用户就需要重新登陆,为了使缓存系统内存中的 S
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值