java反序列化数据过滤

最新推荐文章于 2024-08-15 14:47:41 发布
最新推荐文章于 2024-08-15 14:47:41 发布
阅读量215 收藏
点赞数 1
分类专栏: Java安全 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GalaxySpaceX/article/details/134949904
版权

前言:

        反序列化漏洞的危害稍微了解一点的都知道,如果能找到前端某处存在反序列化漏洞,那基本上距离拿下服务器仅一步之遥,这个时候我们可以通过继承ObjectInputFilter添加tFilter实现对所有反序列化类的校验,当然这个需要java的高版本才支持jep290,或者我们可以针对需要进行反序列化的接口对将要反序列化的数据进行过滤,这样可以防止如果我们通过全局设置导致项目代码出现未知问题,并且可以针对暴露点进行比较严格的校验。

        可以通过设置jep290来对一些高危险的类进行过滤,再配合继承ObjectInputStream实现对反序列化数据的精准严格过滤,这样可以最大限度的保证服务器的安全。

代码:

我们可以通过实现继承ObjectInputStream来实现对序列化数据的过滤,代码如下:

package com.example.seriallzpayload.controller;

import java.io.*;

public class FilteringObjectInputStream extends ObjectInputStream {
    private String[] forbidClasses;

    public FilteringObjectInputStream(InputStream in) throws IOException {
        super(in);
        String[] stringArray = {
                "java.net.URL",
                "bsh.XThis",
                "bsh.Interpreter",
                "com.mchange.v2.c3p0.PoolBackedDataSource",
                "com.mchange.v2.c3p0.impl.PoolBackedDataSourceBase",
                "clojure.lang.PersistentArrayMap",
                "clojure.inspector.proxy$javax.swing.table.AbstractTableModel$ff19274a",
                "org.apache.commons.beanutils.BeanComparator",
                "org.apache.commons.collections.Transformer",
                "org.apache.commons.collections.functors.ChainedTransformer",
                "org.apache.commons.collections.functors.ConstantTransformer",
                "org.apache.commons.collections.functors.InstantiateTransformer",
                "org.apache.commons.collections.map.LazyMap",
                "org.apache.commons.collections.functors.InvokerTransformer",
                "org.apache.commons.collections.keyvalue.TiedMapEntry",
                "org.apache.commons.collections4.comparators.TransformingComparator",
                "org.apache.commons.collections4.functors.InvokerTransformer",
                "org.apache.commons.collections4.functors.ChainedTransformer",
                "org.apache.commons.collections4.functors.ConstantTransformer",
                "org.apache.commons.collections4.functors.InstantiateTransformer",
                "org.apache.commons.fileupload.disk.DiskFileItem",
                "org.apache.commons.io.output.DeferredFileOutputStream",
                "org.apache.commons.io.output.ThresholdingOutputStream",
                "org.apache.wicket.util.upload.DiskFileItem",
                "org.apache.wicket.util.io.DeferredFileOutputStream",
                "org.apache.wicket.util.io.ThresholdingOutputStream",
                "org.codehaus.groovy.runtime.ConvertedClosure",
                "org.codehaus.groovy.runtime.MethodClosure",
                "org.hibernate.engine.spi.TypedValue",
                "org.hibernate.tuple.component.AbstractComponentTuplizer",
                "org.hibernate.tuple.component.PojoComponentTuplizer",
                "org.hibernate.type.AbstractType",
                "org.hibernate.type.ComponentType",
                "org.hibernate.type.Type",
                "org.hibernate.EntityMode",
                "com.sun.rowset.JdbcRowSetImpl",
                "org.jboss.interceptor.builder.InterceptionModelBuilder",
                "org.jboss.interceptor.builder.MethodReference",
                "org.jboss.interceptor.proxy.DefaultInvocationContextFactory",
                "org.jboss.interceptor.proxy.InterceptorMethodHandler",
                "org.jboss.interceptor.reader.ClassMetadataInterceptorReference",
                "org.jboss.interceptor.reader.DefaultMethodMetadata",
                "org.jboss.interceptor.reader.ReflectiveClassMetadata",
                "org.jboss.interceptor.reader.SimpleInterceptorMetadata",
                "org.jboss.interceptor.spi.instance.InterceptorInstantiator",
                "org.jboss.interceptor.spi.metadata.InterceptorReference",
                "org.jboss.interceptor.spi.metadata.MethodMetadata",
                "org.jboss.interceptor.spi.model.InterceptionType",
                "org.jboss.interceptor.spi.model.InterceptionModel",
                "sun.rmi.server.UnicastRef","sun.rmi.transport.LiveRef",
                "sun.rmi.transport.tcp.TCPEndpoint",
                "java.rmi.server.RemoteObject",
                "java.rmi.server.RemoteRef",
                "java.rmi.server.UnicastRemoteObject",
                "sun.rmi.server.ActivationGroupImpl",
                "sun.rmi.server.UnicastServerRef",
                "org.springframework.aop.framework.AdvisedSupport",
                "net.sf.json.JSONObject",
                "org.jboss.weld.interceptor.builder.InterceptionModelBuilder",
                "org.jboss.weld.interceptor.builder.MethodReference",
                "org.jboss.weld.interceptor.proxy.DefaultInvocationContextFactory",
                "org.jboss.weld.interceptor.proxy.InterceptorMethodHandler",
                "org.jboss.weld.interceptor.reader.ClassMetadataInterceptorReference",
                "org.jboss.weld.interceptor.reader.DefaultMethodMetadata",
                "org.jboss.weld.interceptor.reader.ReflectiveClassMetadata",
                "org.jboss.weld.interceptor.reader.SimpleInterceptorMetadata",
                "org.jboss.weld.interceptor.spi.instance.InterceptorInstantiator",
                "org.jboss.weld.interceptor.spi.metadata.InterceptorReference",
                "org.jboss.weld.interceptor.spi.metadata.MethodMetadata",
                "org.jboss.weld.interceptor.spi.model.InterceptionModel",
                "org.jboss.weld.interceptor.spi.model.InterceptionType",
                "org.python.core.PyObject",
                "org.python.core.PyBytecode",
                "org.python.core.PyFunction",
                "org.mozilla.javascript.**",
                "org.apache.myfaces.context.servlet.FacesContextImpl",
                "org.apache.myfaces.context.servlet.FacesContextImplBase",
                "org.apache.myfaces.el.CompositeELResolver",
                "org.apache.myfaces.el.unified.FacesELContext",
                "org.apache.myfaces.view.facelets.el.ValueExpressionMethodExpression",
                "com.sun.syndication.feed.impl.ObjectBean",
                "org.springframework.beans.factory.ObjectFactory",
                "org.springframework.aop.framework.AdvisedSupport",
                "org.springframework.aop.target.SingletonTargetSource",
                "com.vaadin.data.util.NestedMethodProperty",
                "com.vaadin.data.util.PropertysetItem"
        };
        String[] stringArray1 = {};
        this.forbidClasses = stringArray;
    }

    @Override
    protected Class<?> resolveClass(ObjectStreamClass desc) throws IOException, ClassNotFoundException {
        String className = desc.getName();
        // 检查类名是否在不允许的类列表中
        for (String forbidClass : forbidClasses) {
            if (className.equals(forbidClass)) {
                throw new InvalidClassException("Unauthorized deserialization attempt: " + className);
            }
        }

        // 如果类名被允许,则使用默认的类解析逻辑
        return super.resolveClass(desc);
    }
}

其中的黑名单内容是根据ysoserial的调用链提取出来的,来源为如下地址:

https://github.com/mogwailabs/deserialization-filter-blacklists/blob/master/blacklist-filter.properties

由于大部分测试是否存在反序列化问题采用的是URLDNS攻击链,所以添加了对java.net.URL的过滤,代价就是不能调用URL类下的方法,需要注意。

代码原理就是我们通过重写了resolveClass方法,为什么要重写resolveClass,先看看源代码中哪里调用了resolveClass方法:

让数据首先进入我们的函数进行一次校验,这里严格点可以采用白名单校验,我这里采用黑名单校验,如果存在在列表中就抛出异常,否则就执行。

调用:

调用的时候我们只需要将序列化数据传入上述函数即可:

    @RequestMapping(value = "/jep290")
    public ModelAndView TryJep(HttpServletRequest request, HttpServletResponse response) throws Exception {
        String filename= request.getParameter("filename");
        // 进行反序列化操作
        FileInputStream serializedData = new FileInputStream(filename);
        FilteringObjectInputStream objIn = new FilteringObjectInputStream(serializedData);
        Object obj = objIn.readObject();
        serializedData.close();
        ModelAndView mv = new ModelAndView();
        mv.setViewName("index");
        return mv;
    }

当我们执行URLDNS序列化数据的时候,检测到存在调用java.net.URL就会报错:

结尾:

代码很简单,最安全的是采用白名单,可以防止被绕过,通过继承 ObjectInputStream可以实现对接口的精准过滤,防止通过jep290过滤太严格影响代码的正常运行,毕竟后端服务器也有很多需要序列化的地方,所以两个配合才能更好的防御反序列化漏洞。

GalaxySpaceX
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javajava 反序列化过滤器 ObjectInputFilter
九师兄
04-04 829
文章目录1.概述2.案例2.1 实体类2.2 正常测试2.3 拒绝策略2.4 jdk9实现ObjectInputFilter 1.概述 ObjectInputFilter 的主要功能就是 反序列化过滤器,可以过滤掉不规范的对象,防止恶意反序列化 Functional Interface: 参考:API Reference Document 这是一个功能接口,因此可以用作lambda表达式或方法引用的赋值目标。 @FunctionalInterface public interface ObjectInp
java反序列化
weixin_52221158的博客
08-17 796
JNDI提供统一的客户端API,通过不同的访问提供者接口JNDI 服务供应接口(SPI)的实现,由管理者将JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务直接进行交互。漏洞经常存在于一些 web组件中。例如 weblogic,Fastjson,JBoss,WebSphere,Jenkins,OpenNMS,Shiro。打开idea,看一下源码(在windows系统解压jar包,在idea创建项目查看,找到对应的jar文件,右键选择添加为库即可查看)...
weblogic反序列化_CVE20163510:Weblogic反序列化分析
weixin_39662594的博客
11-26 973
更多全球网络安全资讯尽在邑安全影响范围Oracle WebLogic Server 12.2.1.0Oracle WebLogic Server 12.1.3.0Oracle WebLogic Server 12.1.2.0Oracle WebLogic Server 10.3.6.0演示环境Oracle WebLogic Server 10.3.6.0Windows 10.0.1836...
java语言的前瞻性_前瞻性Java反序列化
cusi77914的博客
07-02 506
Java序列化使开发人员可以将Java对象保存为二进制格式,以便可以将其持久保存到文件中或通过网络传输。 远程方法调用(RMI)使用序列化作为客户端和服务器之间的通信介质。 当服务从客户端接受二进制数据反序列化输入以构造Java实例时,可能会出现几个安全问题。 本文重点介绍其中之一:攻击者可以序列化另一个类的实例,并将其发送到服务。 然后,服务将反序列化恶意对象,并且很可能将其强制转换为服务...
fastjson反序列化过滤字段属性_最新fastjson反序列化漏洞分析
weixin_39914863的博客
11-22 531
前言写的有点多,可能对师傅们来说比较啰嗦,不过这么写完感觉自己也就明白了pocnewPoc.javaimport com.alibaba.fastjson.JSON; public class newPoc { public static void main(String[] argv) { String payload = "{"name":{"@type":"java...
09 - 网络通信优化之序列化:避免使用Java序列化
简单记录一下。
08-18 2443
无论是网路传输还是磁盘持久化数据,我们都需要将数据编码成字节码,而我们平时在程序中使用的数据都是基于内存的数据类型或者对象,我们需要通过编码将这些数据转化成二进制字节流;如果需要接收或者再使用时,又需要通过解码将二进制字节流转换成内存数据。我们通常将这两个过程称为序列化与反序列化Java 默认的序列化是通过 Serializable 接口实现的,只要类实现了该接口,同时生成一个默认的版本号,我们无需手动设置,该类就会自动实现序列化与反序列化
java 反序列化_Java-序列化-反序列化
weixin_36110673的博客
02-24 227
ThanksJava中的序列化对象是存储在内存中,但如果我们想把对象持久化存到硬盘上该怎么做呢?在Java中,可以使用序列化:Serialization(序列化)是一种将对象以一连串的字节描述的过程;反序列化deserialization是一种将这些字节重建成一个对象的过程。简单例子Java中必须实现接口Serializable才能够被序列化,而Serializable接口没有方法,更像是个标记。...
java反序列化利用程序UI版Beta1.1.rar
07-20
1. **Java序列化机制**:Java对象序列化是通过实现`Serializable`接口来标记一个类可被序列化。`ObjectOutputStream`用于将对象写入流,`ObjectInputStream`用于从流中读取并反序列化对象。 2. **易受攻击的库**:...
Java反序列化安全漏洞防控
04-19
Java反序列化安全漏洞是一种严重的安全威胁,它主要发生在Java程序处理序列化数据时。序列化是Java中的一种机制,可以将对象状态转换为字节流,以便存储或传输。反序列化则是将字节流恢复为Java对象的过程。 在Java...
Java反序列化工具.zip
05-31
1. **Payload生成器**:创建特定格式的恶意序列化数据,用于测试应用程序对反序列化攻击的脆弱性。 2. **漏洞检测**:扫描WebLogic或JBoss服务器配置,识别可能易受反序列化攻击的组件或端点。 3. **防御策略**:...
JAVA反序列化基础代码
07-08
例如,如果反序列化的对象来自不受信任的来源,它们可能包含恶意构造的序列化数据,导致远程代码执行(RCE)攻击。为防止这种情况,应遵循以下安全实践: 1. **使用安全的反序列化库**:如使用`...
shiro反序列化脚本.zip
07-28
Python脚本可以方便地与Java环境交互,例如通过网络发送序列化数据,触发Shiro框架中的漏洞。 在标签中提到的"反射"是Java编程中的一个重要概念,它允许程序在运行时检查类、接口、字段和方法的信息,并能动态调用...
RabbitMQ反序列化未经授权的类异常解决方案
m0_64694079的博客
12-11 3111
RabbitMQ反序列化异常解决方案
已解决java.io.InvalidClassException: 无效的类异常的正确解决方法,亲测有效!!!
小明的Java问道之路
04-05 1991
已解决java.io.InvalidClassException: 无效的类异常的正确解决方法,亲测有效!!!
java io报错_解决错误java.io.InvalidClassException
weixin_32667011的博客
02-20 2684
今天遇到一个现场问题,任务报错java.io.InvalidClassException。在开发环境是没有报错的,正式环境报错。大概类似于下面这样(非报错原文,摘自网上同类博客)在网上查找资料后了解到 :该异常是由于反序列化时, 当前类的serialVersionUID 与 反序列化后的类的serialVersionUID 不同所致。在未显示声明情况下由java编译器计算得出,但是不同的java编...
Java反序列化安全漏洞怎么回事?
Firstlucky77的博客
06-21 931
序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。序列化和反序列化本身并不存在问题。但当输入的反序列化数据可被用户控制,那么攻击者即可通过构
亲测有效java.io.InvalidClassException: 无效的类异常的解决方法,嘿嘿嘿
PythonAigc的博客
05-06 735
`java.io.InvalidClassException` 是 Java 在尝试使用 `ObjectInputStream` 读取序列化对象时,如果遇到了与序列化对象不兼容的类定义,就会抛出的异常。这通常发生在类的定义在序列化之后被修改,或者读取的序列化数据与预期类结构不一致时。 ### 问题分析 当遇到 `InvalidClassException` 时,通常意味着以下几个问题之一: 1. **类定义已更改**:在序列化一个对象之后,可能更改了该对象的类的定义(比如添加了、移除了字段或更改了字段
Java中 filter()函数的用法
热门推荐
@素素~的博客
08-17 3万+
Java中filter函数的用法介绍详细代码Java8之前的写法Java8写法1Java8写法2造数以及测试类代码测试结果参考资料链接: 介绍 Java 8 Stream接口引入了filter()方法,可用于根据特定条件从对象集合中过滤出某些元素。这个条件应该指定为filter()方法接受作为参数的谓词。 predicate接口定义了一个名为test()的抽象方法,该方法接受泛型类型T的对象并返回一个布尔值。 让我们编写一些代码,以便更清楚地理解filter方法。看看下面的Dish类。 详细代码 packa
JAVA进阶补充
最新发布
2301_80150315的博客
08-15 948
概念:把已经有的方法拿过来用,当作函数式接口中抽象方法的方法体条件:引用处必须是函数式接口被引用的方法需要已经存在被引用方法的形参和返回值需要跟抽象方法的形参和返回值保持一致被引用方法的功能需要满足当前需求:方法引用符意义:就是为让控制台的报错信息更加的见名知意自定义异常的步骤:定义异常类写继承关系空参构造带参构造​file对象就表示一个路径,可以是文件的路径、也可以是文件夹的路径;这个路径可以是存在的,也允许是不存在的构造方法描述根据文件路径创建对象。
java反序列化利用链
04-29
Java反序列化利用链是指黑客利用Java反序列化漏洞,通过构造恶意的序列化数据,将恶意代码注入目标系统,从而实现攻击的手段。Java反序列化漏洞可能带来很大的风险,因为黑客可以利用它来实现各种攻击,比如代码执行、拒绝服务、敏感信息泄漏等。 Java反序列化利用链的攻击方式通常包括以下步骤: 1. 找到目标系统中存在的可利用Java反序列化漏洞。 2. 构造恶意的序列化数据,并将其注入到目标系统中。 3. 解序列化恶意数据,从而加载恶意代码并执行。 4. 利用恶意代码实施攻击,比如执行命令、读取文件、向外部服务器发送数据等。 为了防范Java反序列化攻击,可以采取以下措施: 1. 及时升级和修补系统中存在的反序列化漏洞和组件库。 2. 限制和过滤反序列化输入数据,排除掉不可信的输入。 3. 使用支持安全反序列化的序列化工具和库。 4. 使用安全编码实践来编写、验证和测试反序列化代码。 总之,Java反序列化利用链是一种非常危险的攻击方式,需要我们保持警醒,并采取适当的措施来防范它。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值