java 反序列化漏洞检测及修复

最新推荐文章于 2024-05-28 16:15:00 发布
最新推荐文章于 2024-05-28 16:15:00 发布
阅读量198 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/sl21100/p/5408394.html
版权

Jboss、Websphere和weblogic的反序列化漏洞已经出来一段时间了,还是有很多服务器没有解决这个漏洞;

反序列化漏洞原理参考:JAVA反序列化漏洞完整过程分析与调试

这里参考了网上的 Java反序列化工具 - Java Deserialization Exp Tools ,来检测weblogic服务器反序列化漏洞;

该工具可以检测weblogic、jboss、websphere服务器,下载地址:http://pan.baidu.com/s/1miKplsW

image

如图上所示,输入weblogic的http地址,执行服务器命令,成功在服务器上执行了系统命令,说明漏洞存在;

这里修复,使用image 3.2.2版本重命名替换之前Middleware\modules下的的3.2.0版本;完成漏洞修复;

转载于:https://www.cnblogs.com/sl21100/p/5408394.html

dianxuequ6825
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java反序列化漏洞修复_【修复总结】JAVA反序列化
weixin_36413157的博客
03-08 2775
威胁说明如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。问题原因类ObjectInputStream在反序列化时,没有对生成的对象的输入做限制,使攻击者利用反射调用函数进行任意命令执行。CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法问题根源Ap...
java反序列化漏洞工具
03-07
该工具用于验证weblogic反序列化漏洞是否存在,工具语言java
Java反序列化漏洞的发现和修复
VioletHan7的博客
11-13 393
http://admin.code2sec.com/ji-yi-ci-javafan-xu-lie-hua-lou-dong-de-fa-xian-he-xiu-fu.html
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
最新发布
2302_76672693的博客
05-28 1267
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
Java反序列化漏洞修复
Dove_Knowledge的博客
10-27 1797
1、jar包反编译(JD-GUI) 2、反编译后的进行代码审核,看是否有前端payload中的数据直接被反序列化(如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。) 3、修复方案 (1)重写 ObjectInputStream#resolveClass 方法resolveClass 会在 readObject 前自动触发,我们可以通过重写 resolveClass 来读取类名,判断使
java反序列化漏洞检测
weixin_30629977的博客
01-03 1083
1、首先下载常用的工具ysoserial 这边提供下载地址:https://jitpack.io/com/github/frohoff/ysoserial/master-v0.0.5-gb617b7b-16/ysoserial-master-v0.0.5-gb617b7b-16.jar 2、使用方法: 1 java -cp ysoserial.jar ysoserial.exploit....
java反序列化漏洞测试
lichengwei816的博客
12-09 201
java反序列化漏洞测试反序列化漏洞测试类正式测试 反序列化漏洞 package com.lcw.demo; import java.io.*; import java.util.HashMap; import java.util.Map; // 用到的commons.collections包 import com.alibaba.fastjson.JSON; import org.apache.commons.collections4.Transformer; import org.apache.com
java反序列化漏洞修复_Weblogic Java反序列化漏洞修复2
weixin_36356040的博客
03-08 200
漏洞描述简单来说序列化是将对象状态转换为可保持或传输的格式的过程(bytestream)。与序列化相对的是反序列化,它将流(bytestream)转换为对象。这两个过程结合起来,可以轻松地存储和传输数据平常状况下正常的数据流被反序列化的时候产生的是预期的正常的对象。但是当在进行反序列化的时候,被反序列化的数据是被经过恶意静心构造的,此时反序列化之后就会产生非预期的恶意对象。这个时候就可能引起任意代...
【代码扫描修复】不安全的反序列化攻击(高危)_java反序列化漏洞修复
2401_84302369的博客
05-02 851
将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例二进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!使用示例:Test.java/\*\*\* 序列化\*/try {/\*\*\* 反序列化
Java 反序列化漏洞
qq_61553520的博客
05-24 4966
在各种编程语言的反序列化漏洞中,Java是最引人瞩目的,因为Java的开发生态中各种第三方库组件相互依赖,经常出现开发中常用的基础底层组件出现安全问题时,会引发核弹式反应,进而影响到上层得操作系统。
JAVA反序列化漏洞解决办法
weixin_30426957的博客
02-18 276
一、漏洞描述: 近期,反序列化任意代码执行漏洞持续发酵,越来越多的系统被爆出存在此漏洞。Apache Commons工具集广泛应用于JAVA技术平台,存在Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞, WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Common...
JAVA反序列化漏洞修复解决方法
05-05 2972
MyObject类建立了Serializable模块,而且重新写过了readObject()变量,仅有建立了Serializable模块的类的目标才能够被实例化,沒有建立此模块的类将无法使他们的任意状态被实例化或逆实例化。这儿的readObject()方法的功能是以1个源键入流中载入字节数编码序列,再把他们反序列化为1个目标,并将其回到,readObject()是能够重新写过的,因而能够订制反序...
java反序列化漏洞工具AllInOne
01-05
java反序列化漏洞检测工具集 支持 jboss weblogic Websphere 本工具仅为方便管理员发现和展示漏洞的危害性,请勿用于非法用途
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
Java反序列化漏洞探析及其修复方法研究.pdf
07-02
Java反序列化漏洞探析及其修复方法研究.pdf
系统漏洞安装(java反序列化补丁漏洞
03-29
java反序列化补丁安装步骤,用于系统weblogic漏洞安装及oracle漏洞安装
Java反序列化漏洞分析
Jitwxs
03-26 1329
转载于:Java反序列化漏洞分析 前言 一、认识Java序列化与反序列化 1.1 定义 1.2 用途 1.3 应用场景 1.4 API实现 1.5 代码实例 二、理解漏洞的产生 三、POC构造 3.1TransformedMap 3.2 Transformer接口 3.3 AnnotationInvocationHandler 3.4 代码实例 四、漏洞分析 4.1 漏洞...
java反序列化漏洞检测_Paper/Java反序列化漏洞分析及检测方案.md at master · Cryin/Paper · GitHub...
weixin_34537864的博客
02-13 301
Java反序列化漏洞分析及检测方案序列化与反序列化序列化与反序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。要对某个类对象进行序列化及反序列化操作,则该类必须实现Serializable接口,Serializable 接口是启用其序列化功能的接口,实现 java.io.Serializable 接口的类才是可序列化的,没有实现此接口的类...
java代码审计之浅谈Java反序列化漏洞修复方案
liguangyao213的博客
02-19 4101
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 概述 序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java程序使用ObjectInputStream对象的readObject方法将反序列化数据转换为java对象。但当输入的反序列化的数据可被用户控制,那么攻击者即
java反序列化漏洞检测工具
09-14
对于Java反序列化漏洞检测工具,我可以给你提供一些常用的选项: 1. Ysoserial:这是一个开源项目,它提供了一组用于测试和利用Java反序列化漏洞的Payloads。你可以使用这些Payloads生成恶意的序列化数据,并检测...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值