在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致 Denial of Service。

最新推荐文章于 2024-05-02 07:07:10 发布
最新推荐文章于 2024-05-02 07:07:10 发布
阅读量1.5k 收藏
点赞数
分类专栏: Java
原文链接:https://www.cnblogs.com/zh94/p/11868313.html
版权

在这里插入图片描述

Abstract:

在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致 Denial of Service。

Explanation:

Java 序列化会将对象图转换为字节流(包含对象本身和必要的元数据),以便通过字节流进行重构。开发人员可以创建自定义代码,以协助 Java 对象反序列化过程,在此期间,他们甚至可以使用其他对象或代理替代反序列化对象。在对象重构过程中,并在对象返回至应用程序并转换为预期的类型之前,会执行自定义反序列化过程。到开发人员尝试强制执行预期的类型时,代码可能已被执行。

在必须存在于运行时类路径中且无法由攻击者注入的可序列化类中,会自定义反序列化例程,所以这些攻击的可利用性取决于应用程序环境中的可用类。令人遗憾的是,常用的第三方类,甚至 JDK 类都可以被滥用,导致 JVM 资源耗尽、部署恶意文件或运行任意代码。

某些 Spring 服务导出工具会在传输层后台使用 Java 序列化。这些服务的示例包括 RMI、JMSInvoker 和 HTTPInvoker。

例 1: RMIServiceExporter 暴露 TestService 方法。

<bean id="testService" class="example.TestServiceImpl"/>
<bean class="org.springframework.remoting.rmi.RmiServiceExporter">
    <property name="serviceName" value="TestService"/>
    <property name="service" ref="testService"/>
    <property name="serviceInterface" value="example.TestService"/>
    <property name="registryPort" value="1199"/>
</bean>

例 2: JMSInvokerServiceExporter 暴露 TestService 方法。

<bean id="testService" class="example.TestServiceImpl"/>
<bean class="org.springframework.jms.remoting.JmsInvokerServiceExporter">
        <property name="serviceInterface" value="example.TestService"/>
        <property name="service" ref="testService"/>
</bean>

例 3: HTTPInvokerServiceExporter 暴露 TestService 方法。

<bean id="testService" class="example.TestServiceImpl"/>
<bean class="org.springframework.remoting.httpinvoker.HttpInvokerServiceExporter">
        <property name="serviceInterface" value="example.TestService"/>
        <property name="service" ref="testService"/>
</bean>

Instance ID: 33720C3BC89BFC973841923D44225B8D
 
Priority Metadata Values:
 
            IMPACT: 5.0
 
            LIKELIHOOD: 3.2
 
Legacy Priority Metadata Values:
 
            SEVERITY: 5.0
 
            CONFIDENCE: 5.0
 
 
Remediation Effort: 4.0

Recommendations:

如果可能,在没有验证对象流的内容的情况下,请勿对不可信数据进行反序列化。为了验证要进行反序列化的类,应使用前瞻反序列化模式。

对象流首先将包含类描述元数据,然后包含其成员字段的序列化字节。Java 序列化过程允许开发人员读取类描述,并确定是继续进行对象的反序列化还是中止对象的反序列化。为此,需要在应执行类验证和确认的位置,子类化 java.io.ObjectInputStream 并提供 resolveClass(ObjectStreamClass desc) 方法的自定义实现。

在这种情况下,理想的方法是将预期的类加入白名单,但在某些情况下,此方法不一定可行。对于复杂的对象图结构,黑名单方法更适合。请谨记,尽管用于执行代码的某些类已公开,但是还可能存在其他未知或未公开的类,因此,白名单方法始终都是首选方法。为避免 Denial of Service,建议您覆盖 resolveObject(Object obj) 方法,以便计算要进行反序列化的对象数量,并在超过阈值时中止反序列化。

在库或框架(例如,使用 JMX、RMI、JMS、HTTP Invoker 时)中执行反序列化时,上述建议并不适用,因为它超出了开发人员的控制范围。在这些情况下,您可能需要确保这些协议满足以下要求:

  • 未公开披露。
  • 使用身份验证。
  • 使用完整性检查。
  • 使用加密。

此外,每当应用程序通过 ObjectInputStream 执行反序列化时,HPE Security Fortify Runtime(HPE Security Fortify 运行时)都会提供要强制执行的安全控制,以此同时保护应用程序代码以及库和框架代码,防止遭到此类攻击。

References:

[1] HPE Security Fortify Application Defender, http://www8.hp.com/us/en/software-solutions/appdefender-application-self-protection/

[2] Oracle, Java Serialization, https://docs.oracle.com/javase/tutorial/jndi/objects/serial.html

[3] IBM, Look-ahead Java deserialization, http://www.ibm.com/developerworks/library/se-lookahead

[4] OWASP, Deserialization of untrusted data, https://www.owasp.org/index.php/Deserialization_of_untrusted_data

[5] Standards Mapping - Common Weakness Enumeration, CWE ID 502

[6] Standards Mapping - FIPS200, SI

[7] Standards Mapping - NIST Special Publication 800-53 Revision 4, SI-10 Information Input Validation (P1)

[8] Standards Mapping - OWASP Mobile Top 10 Risks 2014, M7 Client Side Injection

[9] Standards Mapping - OWASP Top 10 2004, A6 Injection Flaws

[10] Standards Mapping - OWASP Top 10 2007, A2 Injection Flaws

[11] Standards Mapping - OWASP Top 10 2010, A1 Injection

[12] Standards Mapping - OWASP Top 10 2013, A1 Injection

[13] Standards Mapping - Payment Card Industry Data Security Standard Version 1.1, Requirement 6.5.6

[14] Standards Mapping - Payment Card Industry Data Security Standard Version 1.2, Requirement 6.3.1.1, Requirement 6.5.2

[15] Standards Mapping - Payment Card Industry Data Security Standard Version 2.0, Requirement 6.5.1

[16] Standards Mapping - Payment Card Industry Data Security Standard Version 3.0, Requirement 6.5.1

[17] Standards Mapping - Payment Card Industry Data Security Standard Version 3.1, Requirement 6.5.1

[18] Standards Mapping - Payment Card Industry Data Security Standard Version 3.2, Requirement 6.5.1

[19] Standards Mapping - SANS Top 25 2009, Insecure Interaction - CWE ID 116

[20] Standards Mapping - Security Technical Implementation Guide Version 3.1, APP3510 CAT I, APP3570 CAT I

[21] Standards Mapping - Security Technical Implementation Guide Version 3.10, APP3510 CAT I, APP3570 CAT I

[22] Standards Mapping - Security Technical Implementation Guide Version 3.4, APP3510 CAT I, APP3570 CAT I

[23] Standards Mapping - Security Technical Implementation Guide Version 3.5, APP3510 CAT I, APP3570 CAT I

[24] Standards Mapping - Security Technical Implementation Guide Version 3.6, APP3510 CAT I, APP3570 CAT I

[25] Standards Mapping - Security Technical Implementation Guide Version 3.7, APP3510 CAT I, APP3570 CAT I

[26] Standards Mapping - Security Technical Implementation Guide Version 3.9, APP3510 CAT I, APP3570 CAT I

[27] Standards Mapping - Security Technical Implementation Guide Version 4.1, APSC-DV-001480 CAT II, APSC-DV-001490 CAT II, APSC-DV-002560 CAT I

[28] Standards Mapping - Web Application Security Consortium Version 2.00, Improper Input Handling (WASC-20)

遥忆知
关注
专栏目录
【愚公系列】2023年05月 Web渗透测试之反序列化攻击
时光隧道
08-25 5万+
PHP反序列化漏洞是一种常见的Web攻击方式,主要是指攻击者利用PHP反序列化函数中的漏洞,来执行恶意代码或获取系统敏感信息的行为。攻击者通常将恶意序列化数据发送给Web应用程序,由Web应用程序进行反序列化操作,从而导致恶意代码执行或敏感资源泄露。该漏洞主要出现在PHP反序列化函数unserialize()中,当程序接收到用户传递的未经过校验的序列化数据时,就很容易受到攻击。攻击者通过构造特定的序列化数据,可以在反序列化过程中执行系统命令、读取文件等危险操作,从而导致安全漏洞。
[网络安全提高篇] 一一三.Powershell恶意代码检测 (1)论文总结及抽象语法树(AST)提取
杨秀璋的专栏
03-11 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。这篇文章将详细讲解PowerShell、Powershell恶意代码检测总结及抽象语法树(AST)提取。希望这篇文章对您有帮助,也推荐大家去阅读论文,且看且珍惜。
对象的序列化与反序列化
liyangbing315的专栏
05-25 2419
对象的序列化与反序列化JAVA虚拟机在内存中分了四个部分,包括stack segment,Heap segment,code segment, data segment。其中我们程序中用关键字new出来的东西都是存放在heap segment;程序中的局部变量存放在stack segment, 这些局部变量是在具体方法执行结束之后,系统自动释放内存资源(而heap segment中的资源需
java语言的前瞻性_前瞻性Java反序列化
cusi77914的博客
07-02 515
Java序列化使开发人员可以将Java对象保存为二进制格式,以便可以将其持久保存到文件中或通过网络传输。 远程方法调用(RMI)使用序列化作为客户端和服务器之间的通信介质。 当服务从客户端接受二进制数据并反序列化输入以构造Java实例时,可能出现几个安全问题。 本文重点介绍其中之一:攻击者可以序列化另一个类的实例,并将其发送到服务。 然后,服务将反序列化恶意对象,并且很可能将其强制转换为服务...
Java提高之IO
weixin_40815637的博客
05-19 121
IO简介和分类 是计算机用来传输文件、保存文件的一种方式,用户设备之间的数据传输。 按照其功能可以分为节点和处理 节点:都是对应抽象基类的实现类,它们都实现了抽象基类的基础读写方法。 处理:需要依附于节点,用来对节点的功能进行拓展和加强。 按照读取单位可以分为字符和字节 字符:一个字符一个字符的读取,主要用于文本数据的读写。如文本 字节:一个字节一个字节的进行读取(如在UTF-8编码文件中,一个中文字符对应三个字节),主要用于非文本数据的读写,如歌曲,视屏,图片等。
浅谈Java反序列化漏洞原理(案例未完善后续补充)
09-18 1356
序列化与反序列化 序列化用途:方便于对象在网络中的传输和存储 java的反序列化 序列化就是将对象转换为,利于储存和传输的格式 反序列化与序列化相反,将转换为对象 例如:json序列化、XML序列化、二进制序列化、SOAP序列化 序列化:java.io.ObjectOutputStream 类中的 writeObject() 该方法把对象序列化,将字节序列写到一个目标输出...
祥云杯Web题解:深入探讨SSRF与Yii框架反序列化漏洞
反序列化漏洞通常发生在对象被序列化存储后,再次被反序列化时,程序没有正确地验证或控制反序列化过程,导致恶意数据被执行。在这个例子中,`RunProcess` 类的实例被序列化并进行 base64 编码。攻击者可能试图构造...
shiro_attack_2.1.zip
10-12
Apache Shiro的反序列化漏洞是由于其在处理用户输入的数据时,没有充分地验证和过滤,导致恶意构造的序列化数据可以被反序列化,从而执行任意代码。这种漏洞可能导致服务器权限的滥用,数据泄露,甚至系统完全控制。...
本文通过实例介绍了Redis的基础知识、数据类型、数据结构以及典型应用场景 值得一看!
AI天才研究院
08-06 1442
2017年,Redis是基于MIT许可发布的一个开源的高性能键值数据库,其开发语言为C语言。它提供了多种数据类型(strings、hashes、lists、sets、sorted sets等),分布式支持(可横向扩展),内存存储,持久化功能,事务处理功能等。作为一种高性能的键值数据库,Redis在处理海量数据时表现优异。在本篇文章中,我将从Redis的一些基础知识入手,介绍Redis中的几个重要概念、数据类型、数据结构以及应用场景。希望能够帮助读者快速理解Redis的核心知识。
Android应用安全检测项目
苛学加记事
07-08 7000
Android应用安全检测项目 使用静态检测引擎对APK文件进行反编译,扫描反编译后的代码文件即可发现应用的安全漏洞。 一般有以下内容,比较有参考价值,部分是平时编码时有可能忽略的问题,在此整理供大家参考。 1. 基础信息 1.1 权限过度声明风险检测 检测应用中是否存在权限滥用情况。 权限是一种安全机制,主要用于限制应用程序内部某些具有限制性特性的功能使用以及应用程序之间的组件访问。Android通过在AndroidManifest.xml中增加权限来控制限制性功能的使用和组件访问。权限滥用是指应用权限开
使用WAF防御网络上的隐蔽威胁之反序列化攻击
2402_82446446的博客
01-30 2176
什么是反序列化 反序列化是将数据结构或对象状态从某种格式转换回对象的过程。这种格式通常是二进制或者字符串(如JSON、XML),它是对象序列化(即对象转换为可存储或可传输格式)的逆过程。
代码扫描修复】不安全的反序列化攻击(高危)
ACGkaka的博客
11-07 2392
代码扫描修复】不安全的反序列化攻击(高危)
反序列化攻击详细解释
Ba1_Ma0的博客
04-28 5844
简介 详细的记录学习过程中的笔记,可以加我qq一起交:3316735898 什么是序列化与反序列化 举一个例子,当你在玩游戏时,你正在操作的角色看起来如下 但反序列化后看起来就像这样 Vincent = { "type": "player" "health": 100, "position":{ "x": 31337, "y":13.37, "z":4444 } } 这些只是一个充满值的对象,但当你关闭游戏时,这些值存储在电脑的RAM上,然后就永远消失了 如果想要把这些东西保存下来,ob
关于反序列化攻击方法探究
蚁景网安学院
10-24 475
grammar_cjkRuby: true反序列化存在于各个开发语言的web应用,PHP、Python、Java都无一例外,趁着假期闲着无聊总结一下Python 反序列化漏洞简介Py...
反序列化漏洞攻击原理(Dubbo反序列化漏洞剖析)
热门推荐
跳小闹成长记
02-22 1万+
目录 一、前言 二、序列化与反序列化简介 三、反序列化怎样才被利用? 1、说明 2、关键类说明-Transformer 3、关键类说明-TransformedMap 4、关键类说明-AnnotationInvocationHandler 5、攻击原理 6、攻击代码简介 四、Dubbo反序列化漏洞剖析 1、Dubbo的漏洞简介 2、漏洞复现步骤 3、如何解决漏洞 五、更...
代码扫描修复】不安全的反序列化攻击(高危)_java反序列化漏洞修复
最新发布
2401_84302369的博客
05-02 1046
将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例二进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!使用示例:Test.java/\*\*\* 序列化\*/try {/\*\*\* 反序列化
Java中对象序列化与反序列化的使用
xiaoyaGrace的博客
03-30 134
当两个进程在进行远程通信时,彼此可以发送各种类型的数据。无论是何种类型的数据,都以二进制序列的形式在网络上传送。发送方需要把这个Java对象转换为字节序列,才能在网络上传送;接收方则需要把字节序列再恢复为Java对象。   把Java对象转换为字节序列的过程称为对象的序列化。   把字节序列恢复为Java对象的过程称为对象反序列化。   对象的序列化主要有两种用途:   1) 把对象的...
风炫安全Web安全学习第四十节课 反序列化漏洞攻击利用演示
风炫的博客
01-06 374
风炫安全Web安全学习第四十节课 反序列化漏洞攻击利用演示 0x02 反序列化漏洞利用 反序列化漏洞的成因在于代码中的 unserialize() 接收的参数可控,从上面的例子看,这个函数的参数是一个序列化的对象,而序列化的对象只含有对象的属性,那我们就要利用对对象属性的篡改实现最终的攻击。 01对象注入 当用户的请求在传给反序列化函数unserialize()之前没有被正确的过滤时就产生漏洞。因为PHP允许对象序列化,攻击者就可以提交特定的序列化的字符串给一个具有该漏洞的unserialize函数,最终
***:.NET对象反序列化攻击工具
在.NET应用程序中,反序列化是将序列化格式的数据转换回对象的过程,这个过程在某些情况下可能攻击者利用,从而执行未授权的代码。YSOserial工具的出现就是为了演示这种安全漏洞,并提醒开发者和安全研究人员...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值