java代码审计之反序列化(权限问题)

最新推荐文章于 2021-08-06 11:36:39 发布
最新推荐文章于 2021-08-06 11:36:39 发布
阅读量326 收藏
点赞数
分类专栏: java代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Candyys/article/details/105981628
版权

概述

Serializable 的类的固有序列化方法包括 readObject, writeObject。
Serializable 的类的固有序列化方法,还包括 readResolve, writeReplace。
它们是为了单例 (singleton) 类而专门设计的。
根据权限最小化原则,一般情况下这些方法必须被声明为 private void。否则如果 Serializable的类开放 writeObject 函数为 public 的话,给非受信调用者过高权限,潜在有风险。有些情况下,比如 Serializable 的类是 Extendable, 被子类继承了,为了确保子类也能访问方法,那么这些方法必须被声明为 protected,而不是 private。

审计策略

人工搜索文本

public * writeObject
public * readObject
public * readResolve
public * writeReplace

修复方案
视情况根据上下文而定,变成私有类或者保护类,比如修改为

private void writeObject
private void readObject
protected Object readResolve
protected Object writeReplace


 

hu4wufu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java代码审计反序列化(代码执行)
糖小喵
05-06 519
前言 序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。只有实现了 Serializable 和 Externalizable 接口的类的对象才能被序列化。 Java 程序使用 ObjectInputStream 对象的 readObject 方法将反序列化数据转换为 java 对象。但当输入的反序列化的数据可被用户控制,那么攻击者即可...
PHP代码审计反序列化
最新发布
Thewei666的博客
05-13 1119
在传递变量的过程中主要作用是保存一个对象方便以后重用。php有可能遇到变量值要跨脚本文件传递的过程。试想,如果为一个脚本中想要调用之前一个脚本的变量但是前一个脚本已经执行完毕,所有的变量和内容释放掉了,我们要如何操作呢?让前一个脚本不断的循环,等待后面脚本调用。这肯定是不现实的。serialize和unserialize就是用来解决这一问题的。serialize可以将变量转换为字符串并且在转换中可以保存当前变量的值;unserialize则可以将serialize生成的字符串变换回变量。
Java反序列化终极测试工具
09-17
Java反序列化终极测试工具
Java对象的序列化和反序列化源码阅读
weixin_33816300的博客
02-28 97
前言 序列化和反序列化看起来用的不多,但用起来就很关键,因为稍一不注意就会出现问题。序列化的应用场景在哪里?当然是数据存储和传输。比如缓存,需要将对象复刻到硬盘存储,即使断电也可以重新反序列化恢复。下面简单理解序列化的用法以及注意事项。 如何序列化 Java中想要序列化一个对象,必须实现Serializable接口。然后就可以持久化和反序列化了。下面是一个简单用法。 项目测试代码: https:/...
Java序列化与反序列化
noibug的博客
08-06 87
import java.io.*; import java.io.IOException; public class Measurement { public static void main(String[] args) throws IOException, ClassNotFoundException { //序列化 Book b = new Book("金苹果2","讲述了种植过程"); ObjectOutputStream oos = ne
JAVA序列化和反序列化
lixue20141529的博客
09-03 310
转自:http://blog.nsfocus.net/learning-guide-java-serialization-de-serialization-vulnerability-remediation JAVA序列化和反序列化是啥? 在现有很多的应用当中,需要对某些对象进行序列化,让它们离开内存空间,入驻物理硬盘,以便可以长期保存,其中最常见的是Web服务器中的Sessi
java反序列化工具
11-21
攻击者可以构造恶意的序列化对象,当它被目标应用反序列化时,可能会触发任意代码执行、权限提升或其他安全漏洞。这些漏洞通常利用了类库中的特性和设计缺陷,例如默认的信任所有反序列化数据,或者没有充分验证输入...
Java反序列化实战.pdf
08-08
### Java反序列化实战知识点详解 #### 一、反序列化概述 - **定义**:在计算机科学领域,反序列化是指将字节流或文本流等数据转换回其原始对象结构的过程。这一过程通常与序列化相对应,序列化是将对象的状态转化...
Java反序列化工具.zip
05-31
反序列化漏洞则是一个安全问题,攻击者可以通过构造恶意的序列化数据来利用这种漏洞,执行任意代码或获取服务器权限。 标题"Java反序列化工具.zip"暗示了这个压缩包包含了一些工具,这些工具可能是为了帮助开发者...
通过主动和被动扫描自动识别Java和.NET应用程序中的反序列化问题
08-06
3. 限制反序列化权限:只允许受信任的类进行反序列化,通过配置白名单或黑名单来限制反序列化的类路径。 4. 应用安全更新:及时修复已知的反序列化漏洞,如CVE公告中列出的那些。 5. 定期进行安全审计和渗透测试:...
Java Web反序列化网络安全漏洞分析.pdf
03-31
Java Web反序列化漏洞是指在Java Web应用程序中,由于对序列化对象的不当处理,攻击者可以构造恶意的序列化数据,导致程序在反序列化过程中执行非预期的代码,从而引发安全问题。这种漏洞的存在使得攻击者可以绕过...
java对象的序列化和反序列化
weixin_34087301的博客
12-19 68
引言:  序列化是将对象的状态信息转换为可以存储或传输的形式的过程,在序列化期间,对象将其带你过去的状态写入到临时或持储存区,反序列化就是重新创建对象的过程,此对象来自于临时或持久储存区。 序列化的作用:  就好比如存储数据到数据库,将一些数据持久化到数据库中,而有时候需要将对象持久化,虽然说将对象状态持久化的方式有很多,但是java给我们提供了一种很便捷的方式,那就是序列化,序列化可以实现对象到...
JAVA与c#的序列化和反序列化
Henry_Wu001的专栏
02-15 3543
case) 已经写好了java的序列化对象存在于redis中,希望用c#来读取和修改。 尝试后发现c#和java的序列化反序列化是不一样的,并且没有现成可用的方案。 可用的solution 1)java/c# 都序列化为json或xml这种通用模型,这样2者可用交互没有问题。     但对于我这个case因为java已经写好了,所以不太好改。 2)IKVM.net方案,这是一个
序列化与反序列化
weixin_30278237的博客
11-27 70
序列化是指一个对象的实例可以被保存,保存成一个二进制串,当然,一旦被保存成二进制串,那么也可以保存成文本串了。比如,一个计数器,数值为2,我们可以用字符串“2”表示。如果有个对象,叫做connter,当前值为2,那么可以序列化成“2”,反向的,也可以从“2”得到值为2的计数器实例。这样,关机时序列化它,开机时反序列化它,每次开机都是延续的。不会都是从头开始。 序列化概念的提出和实现,可以使我...
java 编码规范 安全_【安全开发】java安全编码规范
weixin_42488179的博客
02-12 305
申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-3-java%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E8%8...
java代码审计反序列化(敏感信息泄露)
糖小喵
05-07 4774
前言 在 Java 环境中,允许处于不同受信域的组件进行数据通信,从而出现跨受信边界的数据传输。不要序列 化未加密的敏感数据;不要允许序列化绕过安全管理器。 public class GPSLocation implements Serializable { private double x; // sensitive field private double y; // sensitive...
java代码审计之checklist
糖小喵
05-09 1211
业务层安全常见问题 业务层的安全问题集中在业务逻辑和越权问题上,我们在代码审计的过程中尽可能的去理解系统的业务流程以便于发现隐藏在业务中的安全问题。 业务层中常见的安全问题Checklist 用户登陆、用户注册、找回密码等功能中密码信息未采用加密算法。 用户登陆、用户注册、找回密码等功能中未采用验证码或验证码未做安全刷新(未刷新Session中验证码的值)导致的撞库、密码爆破漏洞。 找回密码逻辑问题(如:可直接跳过验证逻辑直接发包修改)。 手机、邮箱验证、找回密码等.
Java代码审计:漏洞来源与挑战
在本篇关于Java代码审计的文章中,主要讨论了两个关键方面:程序员编码不当引发的安全问题和第三方组件使用不当所导致的风险。 首先,文章指出程序员在编码过程中存在的问题。编码不当往往源于对安全性的忽视,比如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值