Java反序列化安全漏洞怎么回事?

最新推荐文章于 2024-06-03 10:50:40 发布
最新推荐文章于 2024-06-03 10:50:40 发布
阅读量923 收藏 2
点赞数
文章标签: java 数据库 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/firstlucky77/article/details/125394896
版权

概述

序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。

Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。

漏洞成因

序列化和反序列化本身并不存在问题。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码。

漏洞代码示例如下:

......
//读取输入流,并转换对象
InputStream in=request.getInputStream();
ObjectInputStream ois = new ObjectInputStream(in);
//恢复对象
ois.readObject();
ois.close();

这里特别要注意的是非预期的对象,正因为此java标准库及大量第三方公共类库成为反序列化漏洞利用的关键。安全研究人员已经发现大量利用反序列化漏洞执行任意代码的方法,最让大家熟悉的是Gabriel Lawrence和Chris Frohoff在《Marshalling Pickles how deserializing objects can ruin your day》中提出的利用Apache Commons Collection实现任意代码执行。此后安全研究人员也陆续爆出XML、Json、Yaml等反序列化的相关漏洞。

除了commons-collections 3.1可以用来利用java反序列化漏洞,还有更多第三方库同样可以用来利用反序列化漏洞并执行任意代码,部分如下:

  • commons-fileupload 1.3.1
  • commons-io 2.4
  • commons-collections 3.1
  • commons-logging 1.2
  • commons-beanutils 1.9.2
  • org.slf4j:slf4j-api 1.7.21
  • com.mchange:mchange-commons-java 0.2.11
  • org.apache.commons:commons-collections 4.0
  • com.mchange:c3p0 0.9.5.2
  • org.beanshell:bsh 2.0b5
  • org.codehaus.groovy:groovy 2.3.9

Java反序列化详解

序列化数据结构

通过查看序列化后的数据,可以看到反序列化数据开头包含两字节的魔术数字,这两个字节始终为十六进制的0xAC ED。接下来是两字节的版本号0x00 05的数据。此外还包含了类名、成员变量的类型和个数等。

这里以类SerialObject示例来详细进行介绍Java对象序列化后的数据结构:

public class SerialObject implements Serializable{
    private static final long serialVersionUID = 5754104541168322017L;

    private int id;
    public String name;

    public SerialObject(int id,String name){
        this.id=id;
        this.name=name;
    }
    ...
}

序列化SerialObject实例后以二进制格式查看:

00000000: aced 0005 7372 0024 636f 6d2e 7878 7878  ....sr.$com.xxxx
00000010: 7878 2e73 6563 2e77 6562 2e68 6f6d 652e  xx.sec.web.home.
00000020: 5365 7269 616c 4f62 6a65 6374 4fda af97  SerialObjectO...
00000030: f8cc c5e1 0200 0249 0002 6964 4c00 046e  .......I..idL..n
00000040: 616d 6574 0012 4c6a 6176 612f 6c61 6e67  amet..Ljava/lang
00000050: 2f53 7472 696e 673b 7870 0000 07e1 7400  /String;xp....t.
00000060: 0563 7279 696e 0a                        .cryin.

序列化的数据流以魔术数字和版本号开头,这个值是在调用ObjectOutputStream序列化时,由writeStreamHeader方法写入:

protected void writeStreamHeader() throws IOException {
     bout.writeShort(STREAM_MAGIC);//STREAM_MAGIC (2 bytes) 0xACED
     bout.writeShort(STREAM_VERSION);//STREAM_VERSION (2 bytes) 5
    }

序列化后的SerialObject对象详细结构:

STREAM_MAGIC (2 bytes) 0xACED 
STREAM_VERSION (2 bytes) 0x0005
    TC_OBJECT (1 byte) 0x73
        TC_CLASSDESC (1 byte) 0x72
        className
            length (2 bytes) 0x24 = 36
            text (36 bytes) com.xxxxxx.sec.web.home.SerialObject
        serialVersionUID (8 bytes) 0x4FDAAF97F8CCC5E1 = 5754104541168322017
        classDescInfo
            classDescFlags (1 byte) 0x02 = SC_SERIALIZABLE
            fields
                count (2 bytes) 2
                field[0]
                    primitiveDesc
最低0.47元/天 解锁文章
Firstlucky77
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java序列安全问题
qq_29827369的博客
03-27 1497
如果一个函数或者对象,不管它位于多么遥远的地方,都可以在本地直接被调用,那该有多好 呀!这是一个非常朴素、美好的想法。基于这个设想,诞生了很多伟大的技术和协议,比如远程 过程调用(RPC)、远程方法调用(RMI)、分布式对象(Distributed Object)、组件对象模 型(COM)、公共对象请求代理(CORBA)和简单对象访问协议(SOAP)等……这个列表还可 以很长很长。...
Python序列安全问题
weixin_34049948的博客
02-02 222
Python 序列安全问题(一) 这一段时间使用flask做web开发,使用了redis存储session,阅读了flask_session源码,发现在存储session到redis过程中,利用了cPickle模块进行序列以及序列;正好根据该样例学习一波Python序列相关的安全问题,不足之处请各位表哥指出。 一、基础知识...
详解Java序列漏洞
最新发布
爱玩游戏的黑客的博客
06-03 638
如果需要将某个对象保存到磁盘上或者通过网络传输,那么这个类应该实现 Serializable 接口或者Externalizable接口之一。使用到JDK中关键类 :ObjectOutputStream (对象输出流) 和 ObjectInputStream (对象输入流)ObjectOutputStream 类中:通过使用 writeObject (Object object) 方法,将对象以二进制格式进行写入。ObjectInputStream类中:
安全序列_Python Pickle 序列安全问题
weixin_39595487的博客
12-11 850
Python Pickle序列安全问题在python中,相比于存储一个数字或者字符串,如果我们想要存储一个字典、列表或者对象,似乎并没有那么容易。但python和PHP等其他语言一样,也提供了一种序列序列的方法用来解决这个问题:我们可以把他们“序列”成一种符合特殊规范的字符串,然后将其存储到一个文件当中。当我们想要获取该元素的时候,可以从文件中读取对应的字符串来进行“序列...
JAVA序列序列漏洞详解(小白必看)
weixin_61638307的博客
03-11 698
Java序列:将Java对象通过writeObject()方法转换为字节流并写入磁盘中。Java序列:将字节流通过readObject()方法读取出来并转换为对象。
3-java安全——java序列机制
网络安全
06-22 557
最近在学习java序列漏洞,为了更好的理解漏洞的原理,打算从零开始学习java序列序列机制。 java序列跟C语言类似,C语言中的序列的数据类型对象是结构体,java序列的数据类型则是java对象,但java对象的序列不涉及方法和静态属性的操作。 为什么不涉及方法和静态属性?因为方法一般都固定存放在代码区,内容是不变的,静态属性则是属于java类的,而对象的成员属性的内容是不固定,说白了java序列是对java对象成员属性的操作,C语言中的序列也验证了这一点。 ..
Java序列安全漏洞防控
04-19
本文描述了著名的java序列漏洞的介绍的修补方案,主要是解决了Apache commons-collection的漏洞修补方案。
Java序列序列原理及漏洞解决方案
08-18
Java序列序列原理及漏洞解决方案 Java序列序列原理及...Java序列序列原理及漏洞解决方案是Java编程语言中的一项重要机制,但同时也存在一些安全漏洞,需要开发者在使用时进行严格的安全检查和防范。
java序列工具
11-21
Java序列是一种将已序列的对象状态转换对象的过程,它是Java平台中持久数据的一种常见方式。在Java应用程序中,序列用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
Java Web序列网络安全漏洞分析.pdf
03-31
Java Web序列漏洞是指在Java Web应用程序中,由于对序列对象的不当处理,攻击者可以构造恶意的序列数据,导致程序在序列过程中执行非预期的代码,从而引发安全问题。这种漏洞的存在使得攻击者可以绕过...
Java序列实战.pdf
08-08
本议题将从那些经典案例入手,分析攻击方和防御方的对抗过程。会从fastjson与weblogic的两个经典漏洞,带大家傲游序列的世界。 序列入门 Fastjson Weblogic 序列防御
4-java安全——java序列机制分析
网络安全
06-23 435
本文是根据java序列机制来分析java序列的流程,从而理解序列后res文件中的字符串具体含义(看不懂的同学建议先看完《java序列机制》)。 通过前面的学习不难发现其实整个序列过程就两行代码: ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream); objectOutputStream.writeObject(student); 本次分析是以实现Serializab..
java序列漏洞分析
weixin_47623655的博客
03-30 2356
Java序列漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列序列机制,通过在序列数据中插入恶意代码,导致序列过程中执行恶意代码。Java序列漏洞是由于Java序列机制本身的缺陷导致的。为了防止恶意序列数据被序列,可以在程序中对未知的序列数据进行拒绝,或者对序列数据进行白名单或黑名单的过滤。Java序列漏洞的攻击方式主要有两种:基于本地文件的序列攻击和基于网络的序列攻击。
【入坑JAVA安全序列序列
一个安全研究员
04-12 909
java安全开篇了
Java中的默认序列存在安全问题如何解决?
solo的博客
11-10 1309
Java中的默认序列是存在一些安全问题的,例如对象序列以后的字节通过网络传输,有可能在网络中被截取。那如何保证数据安全呢?通常可以在对象序列时对对象内容进行加密,对象序列时对内容进行解密。 具体实现过程分析: 在序列对象中添加writeObject(ObjectOutpuStream out)方法对内容进行加密再执行序列。 在序列对象中添加readObject(ObjectI...
Java 中的序列安全漏洞梳理
Firstlucky77的博客
05-27 692
背景 现阶段公司会进行季度的安全巡检,扫描出来的 Java 相关漏洞,无论是远程代码执行、还是 JNDI 注入,基本都和 Java序列机制有关。本文简单梳理了一下序列机制相关知识,解释为什么这么多漏洞都和 Java序列有关,以及后续怎么避免这些安全漏洞,减少版本升级工作量。同时能基于本文的知识,在看到序列漏洞后,简单评估该漏洞对自身应用的影响。 为什么需要序列 序列主要是提供了一种机制,方便数据在网络之间进行传输,或者独立于程序存储在本地磁盘。 序列的使用场景很广,比如服务器收
应用安全系列之二十五:不安全序列
jimmyleeee的专栏
04-07 1434
序列过程是将一个对象转换成一种数据格式以有利于存储或者传输。而序列则是一个相的过程,把一定格式的数据转变成一个对象。比较流行的数据格式包括:XML,JSON。 这种序列过程,当出现输入的数据可以被篡改或者控制时,他可以用于发起攻击,攻击的结果包括但不限于:DOS、访问控制、以及RCE等。 DOS攻击 以Java语言为例,如果构造的一个对象里有一个数组对象,而数组对象的大小被改为整形的最大值,就会导致在序列时,分配一个超大的数组,进而导致OutOfMemoryError 错误。 访问控
对象的序列 ObjectInputstream类
qq_20564455的博客
08-01 141
创建序列对象 调用里面的readObject()方法 import java.io.*; public class FuXi3 { public static void main(String[] args) throws IOException, ClassNotFoundException { demo02(); demo01(); } private static void demo02() t.
java序列成object_java常用知识:ObjectInputStream序列
weixin_34043280的博客
02-25 172
把文件中保存的对象以流的方式读取出来构造方法:ObjectInputStream (InputStream in) 创建从指定InputStream读取的流数据成员方法:Object readObject() 从 ObjectInputStream读取对象使用步骤:1.创建ObjectInputStream对象,构造方法中传递字节输入流2.使用ObjectInputStream的readObjec...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值