java语言的前瞻性_前瞻性Java反序列化

最新推荐文章于 2024-05-13 09:56:20 发布
最新推荐文章于 2024-05-13 09:56:20 发布
阅读量240 收藏
点赞数
文章标签: java 安全 python 编程语言 jvm
原文链接:https://www.ibm.com/developerworks/security/library/se-lookahead/index.html
版权

java语言的前瞻性

Java序列化使开发人员可以将Java对象保存为二进制格式,以便可以将其持久保存到文件中或通过网络传输。 远程方法调用(RMI)使用序列化作为客户端和服务器之间的通信介质。 当服务从客户端接受二进制数据并反序列化输入以构造Java实例时,可能会出现几个安全问题。 本文重点介绍其中之一:攻击者可以序列化另一个类的实例,并将其发送到服务。 然后,服务将反序列化恶意对象,并且很可能将其强制转换为服务期望的合法类,从而引发异常。 但是,该异常可能为时已晚,无法确保数据安全。 本文解释了原因,并说明了如何实现安全的替代方案。 (有关与Java反序列化有关的其他安全问题的简要概述,请参见Other反序列化陷阱侧栏。)

其他反序列化陷阱

反序列化还面临另外三种威胁:

  • 攻击者可能窃听通信并获取潜在的敏感数据。 传输层安全性(TLS)可用于防止此类攻击。
  • 恶意用户可能会篡改客户端应用程序合法序列化的数据,并更改值以颠覆服务的业务逻辑。 与其他类型的服务一样,即使已经在客户端进行了相同的验证,也必须在服务器上应用输入验证。 在这种情况下,对象密封也是有效的对策。
  • 攻击者可以设置对象的private成员,这可能不是开发人员想要的行为。 攻击者可能可以使用该技术来更改对象的内部状态。 将此类成员标记为transient可能是解决方案的一部分。

这些问题和对策的进一步讨论不在本文的讨论范围之内。

弱势阶层

您的服务不应反序列化任意类的对象。 为什么不? 简短的答案是:因为您可能在服务器的类路径中具有易受攻击的类,攻击者可以利用这些类。 这些类包含使攻击者导致拒绝服务条件或在极端情况下注入任意代码的代码。

您可能认为这种攻击是不可能的,但是请考虑在典型服务器的类路径中可以找到多少个类。 它们不仅包括您自己的代码,还包括Java类库,第三方库以及任何中间件或框架库。 此外,类路径可能会在应用程序的整个生命周期中发生变化,或者响应于超出单个应用程序的系统环境变化而被修改。 当试图利用这种弱点时,攻击者可以通过发送多个序列化对象来组合多个操作。

我应该强调, 只有在以下情况下,该服务才会反序列化恶意对象:

  • 恶意对象的类存在于服务器的类路径中。 攻击者不能简单地发送任何类的序列化对象,因为该服务将无法加载该类。
  • 恶意对象的类是可序列化的或可外部化的。 (也就是说,服务器上的类必须实现java.io.Serializable接口或java.io.Externalizable接口。)

同样,反序列化过程通过从序列化流中复制数据而无需调用构造函数来填充对象树。 因此,攻击者无法执行可序列化对象类的构造函数中的Java代码。

但是攻击者还有其他方法可以在服务器上执行某些代码。 每当JVM反序列化实现以下三个方法之一的类的对象时,JVM都会调用该方法并在其中执行代码:

  • readObject()方法通常在无法使用标准序列化时(例如,需要设置transient成员时readObject()由开发人员使用。
  • readResolve()方法,通常用于序列化单例实例。
  • readExternal()方法,用于可外部化的对象。

因此,如果您的类路径中有使用这些方法之一的类,则必须意识到攻击者可以远程调用这些方法。 过去曾使用过这种攻击方式来破坏Applet沙箱(请参阅参考资料 )。 同样的技术也可以应用于服务器。

请继续阅读以了解如何仅允许对您期望为服务提供的类进行反序列化。

Java序列化二进制格式

白名单

即使您绝对确定您的服务不受本文中讨论的攻击的影响,也请记住,针对已知良好值列表( 白名单 )的输入验证始终是良好安全实践的一部分。

序列化对象后,二进制数据将包含元数据(有关数据结构的信息,例如类名,成员数和成员类型)和数据本身。 我将以一个简单的Bicycle类为例。 清单1中所示的类包含三个成员( idnamenbrWheels )及其对应的setter和getter:

清单1. Bicycle
package com.ibm.ba.scg.LookAheadDeserializer;

public class Bicycle implements java.io.Serializable {

    private static final long serialVersionUID = 5754104541168320730L;

    private int id;
    private String name;
    private int nbrWheels;

    public Bicycle(int id, String name, int nbrWheels) {
        this.id = id;
        this.name = name;
        this.nbrWheels = nbrWheels;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public void setId(int id) {
        this.id = id;
    }


    public int getId() {
        return id;
    }

    public int getNbrWheels() {
        return nbrWheels;
    }

    public void setNbrWheels(int nbrWheels) {
        this.nbrWheels = nbrWheels;
    }
}

清单1中显示的类的实例被序列化之后,数据流类似于清单2:

清单2. Bicycle类的序列化数据流 
000000: AC ED 00 05 73 72 00 2C 63 6F 6D 2E 69 62 6D 2E |········com.ibm.|
000016: 62 61 2E 73 63 67 2E 4C 6F 6F 6B 41 68 65 61 64 |ba.scg.LookAhead|
000032: 44 65 73 65 72 69 61 6C 69 7A 65 72 2E 42 69 63 |Deserializer.Bic|
000048: 79 63 6C 65 4F DA AF 97 F8 CC C0 DA 02 00 03 49 |ycle···········I|
000064: 00 02 69 64 49 00 09 6E 62 72 57 68 65 65 6C 73 |··idI··nbrWheels|
000080: 4C 00 04 6E 61 6D 65 74 00 12 4C 6A 61 76 61 2F |L··name···Ljava/|
000096: 6C 61 6E 67 2F 53 74 72 69 6E 67 3B 78 70 00 00 |lang/String;····|
000112: 00 00 00 00 00 01 74 00 08 55 6E 69 63 79 63 6C |·········Unicycl|
000128: 65                                              |e|

通过将标准化的对象序列化流协议应用于此数据(请参阅参考资料 ),您可以看到序列化对象的详细信息,如清单3所示:

清单3.序列化Bicycle对象的详细信息 
STREAM_MAGIC (2 bytes) 0xACED 
STREAM_VERSION (2 bytes) 5
newObject
    TC_OBJECT (1 byte) 0x73
    newClassDesc
        TC_CLASSDESC (1 byte) 0x72
        className
            length (2 bytes) 0x2C = 44
            text (59 bytes) com.ibm.ba.scg.LookAheadDeserializer.Bicycle
        serialVersionUID (8 bytes) 0x4FDAAF97F8CCC0DA = 5754104541168320730
        classDescInfo
            classDescFlags (1 byte) 0x02 = SC_SERIALIZABLE
            fields
                count (2 bytes) 3
                field[0]
                    primitiveDesc
                        prim_typecode (1 byte) I = integer
                        fieldName
                            length (2 bytes) 2
                            text (2 bytes) id
                field[1]
                    primitiveDesc
                        prim_typecode (1 byte) I = integer
                        fieldName
                            length (2 bytes) 9
                            text (9 bytes) nbrWheels
                field[2]
                    objectDesc
                        obj_typecode (1 byte) L = object
                        fieldName
                            length (2 bytes) 4
                            text (4 bytes)  name
                        className1
                            TC_STRING (1 byte) 0x74
                                length (2 bytes) 0x12 = 18
                                text (18 bytes) Ljava/lang/String;

            classAnnotation
                TC_ENDBLOCKDATA (1 byte) 0x78

            superClassDesc
                TC_NULL (1 byte) 0x70
    classdata[]
        classdata[0] (4 bytes) 0 = id
        classdata[1] (4 bytes) 1 = nbrWheels
        classdata[2]
            TC_STRING (1 byte) 0x74
            length (2 bytes) 8
            text (8 bytes) Unicycle

从清单3中可以看到,该序列化对象是com.ibm.ba.scg.LookAheadDeserializer.Bicycle ,其ID为零,具有一个轮子,并且是一个单轮自行车。

这里的重点是二进制格式包含某种标题,使您可以执行输入验证。

前瞻类验证

清单3所示 ,读取流时,序列化对象的类描述出现在对象本身之前。 此结构使您可以实现自己的算法来读取类描述,并根据类名称决定是否继续读取流。 幸运的是,您可以使用钩子轻松完成此操作,该钩子Java提供了通常用于自定义类加载的Java钩子,即重写了resolveClass() method 。 这个钩子非常适合提供自定义验证,因为只要流包含意外类,就可以使用它来引发异常。 您需要子类化java.io.ObjectInputStream并重写resolveClass()方法。 清单4使用此技术仅允许对Bicycle类的实例进行反序列化:

清单4.自定义验证钩 
package com.ibm.ba.scg.LookAheadDeserializer;

import java.io.IOException;
import java.io.InputStream;
import java.io.InvalidClassException;
import java.io.ObjectInputStream;
import java.io.ObjectStreamClass;

import com.ibm.ba.scg.LookAheadDeserializer.Bicycle;

public class LookAheadObjectInputStream extends ObjectInputStream {

    public LookAheadObjectInputStream(InputStream inputStream)
            throws IOException {
        super(inputStream);
    }

    /**
     * Only deserialize instances of our expected Bicycle class
     */
    @Override
    protected Class<?> resolveClass(ObjectStreamClass desc) throws IOException,
            ClassNotFoundException {
        if (!desc.getName().equals(Bicycle.class.getName())) {
            throw new InvalidClassException(
                    "Unauthorized deserialization attempt",
                    desc.getName());
        }
        return super.resolveClass(desc);
    }
}

通过在com.ibm.ba.scg.LookAheadDeserializer实例上调用readObject()方法,可以防止对意外对象进行反序列化。

作为演示,清单5序列化了两个对象-预期类的实例( com.ibm.ba.scg.LookAheadDeserializer.Bicycle )和意外对象(一个java.lang.File实例)-然后尝试使用清单4中的定制验证钩子:

清单5.使用定制验证钩反序列化两个对象 
package com.ibm.ba.scg.LookAheadDeserializer;

import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.File;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

import com.ibm.ba.scg.LookAheadDeserializer.Bicycle;

public class LookAheadDeserializer {

    private static byte[] serialize(Object obj) throws IOException {
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(baos);
        oos.writeObject(obj);
        byte[] buffer = baos.toByteArray();
        oos.close();
        baos.close();
        return buffer;
    }

    private static Object deserialize(byte[] buffer) throws IOException,
            ClassNotFoundException {
        ByteArrayInputStream bais = new ByteArrayInputStream(buffer);
        
        // We use LookAheadObjectInputStream instead of InputStream
        ObjectInputStream ois = new LookAheadObjectInputStream(bais);
        
        Object obj = ois.readObject();
        ois.close();
        bais.close();
        return obj;
    }
	
    public static void main(String[] args) {
        try {
            // Serialize a Bicycle instance
            byte[] serializedBicycle = serialize(new Bicycle(0, "Unicycle", 1));

            // Serialize a File instance
            byte[] serializedFile = serialize(new File("Pierre Ernst"));

            // Deserialize the Bicycle instance (legitimate use case)
            Bicycle bicycle0 = (Bicycle) deserialize(serializedBicycle);
            System.out.println(bicycle0.getName() + " has been deserialized.");

            // Deserialize the File instance (error case)
            Bicycle bicycle1 = (Bicycle) deserialize(serializedFile);

        } catch (Exception ex) {
            ex.printStackTrace(System.err);
        }
    }
}

运行应用程序时,JVM会在尝试反序列化java.lang.File对象之前引发异常,如图1所示:

图1.应用程序输出
控制台输出的屏幕快照,显示一条消息,表明Unicycle对象已反序列化,并抛出java.io.InvalidClassException以进行未经授权的反序列化java.io.File的尝试

结论

本文介绍了如何在流中发现意外的Java类后立即停止Java反序列化过程,而无需对新反序列化实例的成员执行加密,密封或简单的输入验证。 请参阅下载以获取示例的完整源代码。

请记住,整个对象树(带有其所有成员的根对象)是在反序列化期间构造的。 在更复杂的配置中,您可能需要允许对多个类进行反序列化。

翻译自: https://www.ibm.com/developerworks/security/library/se-lookahead/index.html

java语言的前瞻性

cuyi7076
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
语言模型原理基础与前沿 有害性
光剑书架上的书
07-09 545
语言模型原理基础与前沿 有害性 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming / TextGenWebUILLM 大语言模型原理基础与前沿 有害性 1. 背
语言模型应用指南:智能的可计算性
最新发布
光剑书架上的书
07-07 1041
在过去的几十年里,随着大数据、高性能计算以及机器学习技术的飞速发展,我们已经见证了人工智能从弱人工智能向强人工智能转变的进程。特别是近年来,大型语言模型的崛起,如GPT系列、通义千问、通义万相等,使得计算机能够生成流畅、多样化的文本,并在多个自然语言处理任务上表现出令人惊叹的能力。然而,尽管这些模型在特定任务上的表现令人印象深刻,但它们如何在更广泛的应用场景下实现智能化的问题依然存在,尤其是在涉及复杂决策和抽象思维的任务时。
SerialKiller:Java反序列化前瞻性
02-05
连环杀手 SerialKiller是一个易于使用的前瞻性Java反序列化库,用于保护应用程序免受不受信任的输入的侵害。 当使用Java序列化在客户端和服务器之间交换信息时,攻击者可以用恶意数据替换合法的序列化流。 受启发,SerialKiller在命名解析期间检查Java类,并允许将黑名单/白名单组合使用以保护您的应用程序。 免责声明:此库可能(或可能不是)100%可以投入生产。 使用风险自负! 如何使用SerialKiller保护您的应用程序 下载最新版本的 。 另外,也可以在使用此库 在您的项目中导入SerialKiller's Jar 用SerialKiller替换反序列化Obj
将来12个月内java技术前瞻--来自16位德国java专家
Burn Net
08-10 1418
昨天,16位德国JAVA专家在一起讨论“在下面12个月中,我们应该学习什么?”,如果你想知道讨论的详细内容,请看这里http://www.firstpartners.net/red-piranha/knowledgebase/VirtualJavaMeetup.如果你没有耐心看下去,那么请看我列出的总结: 网络服务将会膨胀,但是前提条件是必须保持整洁的情况下。 EJB 3
1.JAVA前瞻
liujiesxs的博客
07-15 179
java语言发展、java跨平台基础、java开发前准备
在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致 Denial of Service。
g56467467464的博客
07-03 1538
Abstract: 在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致 Denial of Service。 Explanation: Java 序列化会将对象图转换为字节流(包含对象本身和必要的元数据),以便通过字节流进行重构。开发人员可以创建自定义代码,以协助 Java 对象反序列化过程,在此期间,他们甚至可以使用其他对象或代理替代反序列化对象。在对象重构过程中,并在对象返回至应用程序并转换为预期的类型之前,会执行自定义反序列化过程。到开发人员尝.
IFT585-TP1:基于前瞻协议的Java程序
06-20
在本项目"IFT585-TP1:基于前瞻协议的Java程序"中,我们将深入探讨...通过这个项目,开发者可以深化对Java多线程、网络通信、数据序列化和性能优化的理解,并掌握如何在实际应用中实现前瞻协议,提高网络通信的效率。
JAVA实现FIFO、LRU、OPT页面置换算法,有界面
06-28
OPT是最理想的页面置换算法,它具有前瞻性,能够在每次需要替换页面时预测未来最久不会被访问的页面。然而,实际操作中,由于无法预知未来,所以OPT通常只作为理论上的最优解,实际应用中一般采用近似算法,如LRU。...
序列化和反序列化理解
weixin_44782176的博客
11-11 309
序列化反序列化 序列化:把字典,列表,字符串等数据转化为二进制的数据进永久储存 反序列化:把二进制数据恢复为字典,列表,字符串对象数据。 需要序列化的情况 把内存中的对象状态保存到一个文件中或者数据库中的时候 使用套接字在网络上传送对象的时候 通过rml传输对象的时候 序列化的好处 序列化的二进制序列能够减少存储空间(永久性保存对象)。 序列化成字节流形式的对象可以进行网络传输(二进制形式),方便了网络传输。 通过序列化可以在进程间传递对象。 python中将序列化的方法:pickle模块和json模块
单例模式,防止反射和反序列化漏洞
帅性而为1号的博客
06-29 2404
一、懒汉式单例模式,解决反射和反序列化漏洞 [java] view plain copy   package com.iter.devbox.singleton;      import java.io.ObjectStreamException;   import java.io.Serializable;      /**   * 
Fortify代码扫描解决方案
weixin_34072159的博客
08-24 5615
Fortify扫描漏洞解决方案: Log Forging漏洞: 1.数据从一个不可信赖的数据源进入应用程序。在这种情况下,数据经由getParameter()到后台。2. 数据写入到应用程序或系统日志文件中。这种情况下,数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试,应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性,审阅日志文件可在必要时...
【代码扫描修复】不安全反序列化攻击(高危)_java反序列化漏洞修复(4)
2401_84132565的博客
05-13 752
在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致。将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例二进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!
RabbitMQ反序列化未经授权的类异常解决方案
m0_64694079的博客
12-11 3200
RabbitMQ反序列化异常解决方案
【代码扫描修复】不安全反序列化攻击(高危)_java反序列化漏洞修复(1)
2401_84132565的博客
05-13 924
在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致。将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例二进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!
高性能的序列化与反序列化:kryo的简单使用
eguid音视频技术分享(JavaCV教程、FFmpeg教程、openCV图像处理教程、音视频教程)
02-12 1万+
前言:kryo是个高效的java序列化/反序列化库,目前Twitter、yahoo、Apache、strom等等在使用该技术,比如Apache的spark、hive等大数据领域用的较多。为什么使用kryo而不是其他?因为性能足够好。比kyro更高效的序列化库就只有google的protobuf了(而且两者性能很接近),protobuf有个缺点就是要传输的每一个类的结构都要生成对应的proto文件(...
序列化和反序列化的详解
热门推荐
tree_ifconfig的博客
09-19 30万+
一、基本概念 1、序列化和反序列化的定义:     (1)Java序列化就是指把Java对象转换为字节序列的过程         Java反序列化就是指把字节序列恢复为Java对象的过程。    (2)序列化最重要的作用:在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。        反序列化的最重要的作用:根据字节流中保存的对...
对象序列化的几种方式的比较
我的角落
01-25 615
 在java中socket传输数据时,数据类型往往比较难选择。可能要考虑带宽、跨语言、版本的兼容等问题。比较常见的做法有两种:一是把对象包装成JSON字符串传输,二是采用java对象的序列化和反序列化。随着Google工具protoBuf的开源,protobuf也是个不错的选择。对JSON,Object Serialize,ProtoBuf 做个对比。 定义一个待传输的对象UserVo: ...
反序列化(验证)
LiangRenYuCat的博客
09-03 868
前提: 使用序列化器进行反序列化时,需要对数据进行验证后,才能获取验证成功的数据或保存成模型类对象. 在获取反序列化的数据前,必须调用is_vaild()方法进行验证,验证成功返回True,反之为Flase. 验证失败,可以通过序列化器对象的errors属性获取错误信息,返回字典,包含了字段和字段的错误。 验证成功,可以通过序列化器对象的validated_data属性获取数据。 在定义序列化器时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值