Java反序列化漏洞修复

最新推荐文章于 2024-06-01 09:45:00 发布
最新推荐文章于 2024-06-01 09:45:00 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: AWD 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Dove_Knowledge/article/details/120995741
版权

1、jar包反编译(JD-GUI)

2、反编译后的进行代码审核,看是否有前端payload中的数据直接被反序列化(如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。)

3、修复方案

(1)重写 ObjectInputStream#resolveClass 方法resolveClass 会在 readObject 前自动触发,我们可以通过重写 resolveClass 来读取类名,判断使的类的合法性从修复漏洞

(2)修改serialVersionUID,Java在反序列化前后,如果serialVersionUID不一致的话会导致序列化失败,并抛出错误,InvalidClassException,我们可以通过JByteMod来修改⽬标类的suid导致该类反序列化失败

Yes_JiangShuai
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【代码扫描修复】不安全的反序列化攻击(高危)_java反序列化漏洞修复
mm627mm的博客
04-16 854
\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!
awd 线下攻防java防护_关于AWD线下攻防的经验
weixin_36436683的博客
02-26 444
# -*- coding: utf-8 -*-#use: python file_check.py ./import osimport hashlibimport shutilimport ntpathimport timeCWD = os.getcwd()FILE_MD5_DICT = {} # 文件MD5字典ORIGIN_FILE_LIST = []# 特殊文件路径字符串Specia...
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
qingkahui24689的博客
06-01 948
反序列化漏洞是一种安全漏洞,它允许攻击者将恶意代码注入到应用程序中。这种漏洞通常发生在应用程序从不安全的来源反序列化数据时。当应用程序反序列化数据时,它将数据从一种格式(例如JSON或XML)转换为另一种格式(例如对象或列表)。如果应用程序不检查数据的安全性,攻击者就可以将恶意代码注入到数据中。当应用程序反序列化数据时,恶意代码就会被执行,这可能导致应用程序被攻陷。
java反序列漏洞原理分析及防御修复方法
热门推荐
m0_38103658的博客
09-06 1万+
Java反序列化漏洞原理 谈起java反序列化漏洞,相信很多人都不会陌生,这个在2015年首次被爆出的漏洞,几乎横扫了包括Weblogic、WebSphere、JBoss、Jenkins等在内的各大java web server,历经几年的发展变种,各种语言工具依次爆出存在可利用的反序列化漏洞。 具全网分析以及shodan扫描显示,时至今日,在全球范围内的公网上大约有136,818台服务器依...
【代码扫描修复】不安全的反序列化攻击(高危)
ACGkaka的博客
11-07 1758
【代码扫描修复】不安全的反序列化攻击(高危)
国赛分区赛awd赛后总结-安心做awd混子
Love&Share
06-30 9034
转载于安全客我自己发的哈~,感兴趣可以点链接进 https://www.anquanke.com/post/id/245158 安全客 - 有思想的安全新媒体 最近参加了国赛分区赛,我所在的分区正好是awd赛制,所以总结了下关于awd的基操,方便新手入门 简单来说就是三步 登录平台,查看规则,探索flag提交方式,比赛开始前有时间的话使用nmap或者httpscan等工具扫一下IP段,整理各队的IP(靶机的IP应该是比赛开始后才会给出) 登录ssh->dump源码->D盾去后门->一人写
awd 线下攻防java防护_2017强网杯线下AWD攻防总结(适合新手)
weixin_29184371的博客
02-26 1347
这篇文章首发于个人博客https://iewoaix8736.github.io/鉴于刚建立博客,比较少人看,所以在t00ls分享给大家,欢迎来交流前言:本菜为高校组,这篇文章适合新手学习参考(dalao飘过,不喜勿喷)AWD攻击这次线下攻防用的是一个Finecms,版本是5.0.9的之前对这个cms并不了解现在复现一下,从哪里跌倒,就从哪里爬起来。朋友给我看了他审计的一片文章http://www...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞探析及其修复方法研究.pdf
07-02
Java反序列化漏洞探析及其修复方法研究.pdf
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全...及时的漏洞检查和修复是防止此类攻击的关键步骤,而"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"这样的工具为安全管理人员提供了有力的辅助手段。
java反序列化漏洞工具
03-07
Java反序列化漏洞是一种安全问题,它出现在程序在接收到网络传输的数据时,不恰当地将这些数据反序列化为对象,导致恶意代码被执行。在WebLogic服务器等Java应用程序中,这种漏洞可能导致权限提升、系统控制甚至数据...
Java反序列化漏洞1
08-04
Java反序列化漏洞1 Java反序列化漏洞是一种常见的安全漏洞,发生在Java语言中。当攻击者能够控制序列化的输入时,Java反序列化机制可能会将恶意对象反序列化,导致安全问题。本文将详细介绍Java反序列化漏洞的...
java 反序列化漏洞解决
weixin_34403693的博客
05-23 318
为什么80%的码农都做不了架构师?>>> ...
awd 线下攻防java防护_CTF线下攻防AWD的技巧【1】
weixin_26732855的博客
02-26 956
本帖最后由 80743522 于 2018-12-22 23:04 编辑今天开启在i春秋分享的第一个话题--AWD的攻防技巧及生存之道本话题可能不会讨论一些具体的技术,更多的是给师傅们分享一下思路一个人的力量是薄弱的,希望及时得到师傅们的补充和建议,本话题将分为三期讲解笔者的AWD攻防经验相对于传统的CTF夺旗来说,AWD的变数更大,对于选手应变能力和处理问题的心态有很大的挑战,并且由于环境限制,...
修复weblogic的JAVA反序列化漏洞的多种方法--预防GetShell攻击
既是过河之卒,惟有奋力向前。
06-15 1411
0x00 前言 目前oracle还没有在公开途径发布weblogic的JAVA反序列化漏洞的官方补丁,目前看到的修复方法无非两条: 使用SerialKiller替换进行序列化操作的ObjectInputStream类; 在不影响业务的情况下,临时删除掉项目里的 “org/apache/commons/collections/functors/InvokerTransformer.cl...
修复Weblogic的JAVA反序列化漏洞的多种方法
adrninistrat0r的博客
03-03 1572
1. 前言 2016年发在乌云知识库,重新发出来纪念一下。 常见的weblogic的JAVA反序列化漏洞修复方法如下: 1.使用SerialKiller替换进行序列化操作的ObjectInputStream类; 2.在不影响业务的情况下,临时删除掉项目里的 "org/apache/commons/collections/functors/InvokerTransformer.class"文件。 ...
Java反序列化漏洞的发现和修复
VioletHan7的博客
11-13 385
http://admin.code2sec.com/ji-yi-ci-javafan-xu-lie-hua-lou-dong-de-fa-xian-he-xiu-fu.html
Java反序列化高危漏洞重现
qq_45498778的博客
11-27 332
Java反序列化漏洞存在着极大危害,今天我来为大家重现一下。
java反序列化的时候修改了类的包
wessiyear的博客
07-31 2021
数据库存了一些老框架序列化的字节码,由于代码迁移到新框架,所以修改了一些类的路径(即就是包名被修改了),导致反序列化这些字节码的时候抛ClassNotFound异常(如果包名一致不存在反序列化抛异常)。 byte[] dataBytes = getBytes(); ByteArrayInputStream in = new ByteArrayInputStream( dataBytes );...
RMI反序列化漏洞 修复
最新发布
06-08
RMI反序列化漏洞是一种常见的Java Web应用程序漏洞,攻击者可以利用该漏洞在目标服务器上执行任意代码。该漏洞利用的核心是Java反序列化机制,攻击者可以通过构造特定的序列化对象来触发漏洞。 要修复RMI反序列化漏洞,需要进行以下步骤: 1. 升级Java版本:在较新版本的Java中,已经修复了一些反序列化漏洞,因此升级Java版本是一种简单有效的修复方法。 2. 序列化对象过滤:过滤掉不受信任的序列化对象,只反序列化可信任的对象,这样可以有效减少攻击面。 3. 自定义序列化/反序列化机制:使用自定义的序列化/反序列化机制,不使用Java默认的序列化/反序列化机制,可以避免一些常见的反序列化漏洞。 4. 对于不必要的远程方法调用接口,可以禁用或者限制远程方法调用。 5. 增强代码审计:对于可能存在RMI反序列化漏洞的代码,进行仔细审计和测试,以及使用一些工具来帮助检测潜在的漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值