探索Java反序列化漏洞:Java Deserialization Scanner

最新推荐文章于 2024-08-27 11:40:40 发布
最新推荐文章于 2024-08-27 11:40:40 发布
阅读量368 收藏 7
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00016/article/details/138996670
版权

探索Java反序列化漏洞:Java Deserialization Scanner

去发现同类优质开源项目:https://gitcode.com/

项目简介

Java Deserialization Scanner是一个强大的Burp Suite插件,专为检测和利用Java反序列化漏洞而设计。由HN Security的首席安全分析师Federico Dotta编写,该工具集成了主动扫描器和被动扫描器,并且提供了手动测试器和攻击者模块,以帮助安全研究人员深入挖掘潜在的安全问题。

项目技术分析

这个插件主要包含三个组件:

  1. 集成Burp Suite扫描器:自动和被动扫描识别Java反序列化漏洞,使用了修改版的ysoserial工具生成定制的payload。
  2. 手动测试器:针对自定义插入点进行Java反序列化漏洞的手动检测,适用于特殊场景下的漏洞检测。
  3. exploiter模块:利用ysoserial工具积极地对发现的漏洞进行攻击。

插件在ysoserial的基础上生成不同类型的payload,用于探测而非直接执行命令。它可检查多种易受攻击的库,如Apache Commons Collections和Spring等,并支持多种编码方式,包括Raw、Base64、ASCII Hex、GZIP和Base64 GZIP。

特别的是,引入了URLSNDS payload来检测没有易受攻击库的Java反序列化漏洞。即使不依赖任何脆弱库,也可能存在DoS攻击的风险。CPU检测方法也提供了一种额外的无库漏洞检测手段。

应用场景

Java Deserialization Scanner适合应用于各种环境,尤其是安全评估、渗透测试和代码审计。它可以帮助开发人员和安全团队在应用发布前找出潜在的反序列化漏洞,也可用于保护关键网络基础设施免受攻击。

项目特点

  1. 多维度检测:不仅检测易受攻击的库,还检测无库漏洞,覆盖广泛。
  2. 灵活编码:支持多种编码方式,适应不同的应用场景。
  3. 手工测试功能:允许对特定插入点进行针对性的检测,确保全面性。
  4. 便捷的exploiter界面:简化了漏洞利用过程,使攻击行为更加有效。
  5. 自定义配置:用户可以根据需求调整插件设置,提高检测精度。

通过安装Java Deserialization Scanner,安全专家们可以更高效、准确地定位和利用Java反序列化漏洞。此外,由于其MIT许可证,该项目允许自由复制、修改和再分发,鼓励社区参与改进。

总结,如果你正在寻找一个工具来增强你的安全审计流程,Java Deserialization Scanner是不容错过的选择。立即下载并体验,让安全防御更上一层楼。

去发现同类优质开源项目:https://gitcode.com/

幸竹任
关注
burp suite java_1020.Burp Suite扩展之Java-Deserialization-Scanner
weixin_33746819的博客
02-15 491
Java反序列化漏洞简介Java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,Java中的ObjectOutputStream类的writeObject()方法可以实现序列化。Java反序列化即逆过程,由字节流还原成对象。ObjectInputStream类的readObject()方法用于反序列化。因此要利用Java反序列化漏洞,需要在进行反序列化的地方传入攻击者的序列化代码...
Mojarra JSF ViewState 反序列化漏洞复现
玄道的网安博客
01-25 1735
漏洞概述 JavaServer Faces (JSF) 是一种用于构建 Web 应用程序的标准,Mojarra是一个实现了JSF的框架。在其2.1.29-08、2.0.11-04版本之前,没有对JSF中的ViewState进行加密,进而导致攻击者可以构造恶意的序列化ViewState对象对服务器进行攻击。 环境搭建 这里使用vulhub来搭建 https://github.com/vulhub/vulhub/blob/master/mojarra/jsf-viewstate-de...
1020.Burp Suite扩展之Java-Deserialization-Scanner
weixin_30408675的博客
01-21 259
Java反序列化漏洞简介 Java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,Java中的ObjectOutputStream类的writeObject()方法可以实现序列化。 Java反序列化即逆过程,由字节流还原成对象。ObjectInputStream类的readObject()方法用于反序列化。 因此要利用Java反序列化漏洞,需要在进行反序列化...
Shiro反序列化漏洞测试工具使用指南
最新发布
weixin_34471637的博客
08-27 922
本文还有配套的精品资源,点击获取 简介:Apache Shiro是一款提供身份验证、授权等安全功能的Java框架。其在处理会话管理时可能会遇到反序列化漏洞,即攻击者通过构造恶意序列化数据执行代码或获取敏感信息。本工具包提供了检测Shiro应用中潜在反序列化漏洞的测试工具,以帮助开发者或安全研究员识别并修复这些安全缺陷,保障应用安全。使用指南包括对序列化与反序列化概念的介绍、...
Java-Deserialization-Scanner:Burp Suite的多合一插件,用于检测和利用Java反序列化漏洞
05-13
Java反序列化扫描器 Java反序列化扫描程序是一个Burp Suite插件,旨在检测和利用Java反序列化漏洞。 它由@ Mediaservice.net的安全顾问Federico Dotta编写。 该插件由三个不同的组件组成: 与Burp Suite主动和被动扫描仪集成 手动测试器,用于检测自定义插入点上的Java反序列化漏洞 Exploiter,允许使用frohoff ysoserial( )积极利用Java反序列化漏洞。 作者 @ Mediaservice.net的安全顾问Federico Dotta 贡献者 杰里米·戈德斯坦 安德拉斯·韦雷斯·森特基拉利 迷你演练(24/05/17) 可以在以下URL上找到简短的文章,其中包含有关如何使用插件的各种组件的迷你演练: : 与Burp Suite主动和被动扫描仪集成 Java反序列化扫描程序使用由frohoff和gebl
Shiro反序列化漏洞检测及修复(工具分享)
热门推荐
weixin_46418540的博客
10-12 1万+
写在前面 这篇博文主要解决于一些朋友为了修复反序列化漏洞,根据某些帖子的内容升级了shiro版本,或者采用了随机生成key的方式后,不知道是否管用。特地写下一篇记录,分享一个检测工具。 我在之前项目中碰到了这个问题,由于shiro使用的版本是1.2.4,存在反序列化漏洞,我们采取的办法是手动升级到了1.2.6版本,但苦于无法验证是否解决了问题,后来发现了一款测试工具,ShiroExploit。 在此特别感谢其作者 feihong飞鸿。 下载地址 https://github.com/feihong-cs/S
反序列化漏洞检查工具 Weblogic XML CVE-2017-10271
01-09
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
Weblogic+XML反序列化漏洞检查工具CVE-2017-10271+V1.2
05-21
好用的Weblogic XML 反序列化漏洞检查工具 CVE-2017-10271 使用范围Oracle WebLogic Server 10.3.6.0.0版本 Oracle WebLogic Server 12.2.1.1.0版本 Oracle WebLogic Server 12.1.3.0.0版本
burpsuite插件之Java Deserialization Scanner使用方法1
08-03
Java Deserialization Scanner 是一款针对Java反序列化漏洞的检测和利用工具,它是Burp Suite中的一个插件。这款插件的目的是帮助安全研究人员检测应用程序中可能存在的Java反序列化漏洞,这些漏洞可能导致远程代码...
burpsuite写JAVA_1020.Burp Suite扩展之Java-Deserialization-Scanner
weixin_42510225的博客
02-26 285
Java反序列化漏洞简介Java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,Java中的ObjectOutputStream类的writeObject()方法可以实现序列化。Java反序列化即逆过程,由字节流还原成对象。ObjectInputStream类的readObject()方法用于反序列化。因此要利用Java反序列化漏洞,需要在进行反序列化的地方传入攻击者的序列化代码...
Weblogic XML反序列化漏洞检查工具CVE-2017-10271
02-22
Weblogic XML反序列化漏洞检查工具CVE-2017-10271,用于网络管理员发现网络中存在的Weblogic XML反序列化漏洞,及时进行修补
jboss反序列化漏洞检测工具
02-15
jboss中间件的反序列化漏洞检测工具,可检测主机搭建的中间件并获得shell
Java反序列化漏洞利用工具(全)
09-14
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
shiro反序列化漏洞利用工具
11-09
图形化界面,该工具支持漏洞检测,请勿用作非法途径,否则后果自负。 Shiro550无需提供rememberMe Cookie,Shiro721需要提供一个有效的rememberMe Cookie 可以手工指定特定的 Key/Gadget/EchoType(支持多选),如果不指定会遍历所有的 Key/Gadget/EchoType 复杂Http请求支持直接粘贴数据包 pic1
Java反序列化漏洞利用集成工具
03-22
Java反序列化漏洞利用集成工具
JAVA反序列扫描工具】简介、下载、安装、使用
04-22 5237
【反序列扫描工具】
weblogic漏洞扫描工具 反序列化漏洞扫描工具
javagty6778的博客
03-16 254
weblogic工具 妄想试图weblogic一把梭目前检测的功能后期可以的话还会继续加功能的,主要是一些反序列化的poc真的不好写,我也不咋会…
反序列化利用工具_Fastjson反序列化漏洞的检测和利用
weixin_30758169的博客
01-27 4815
Fastjson是Alibaba开发的,Java语言编写的高性能Json库,号称Java语言中最快的Json库。针对Fastjson反序列化漏洞原理分析和Poc网上以及有很多,本文仅分享如何快速发现Fastjson反序列化漏洞,方便安全测试人员开展安全测试及修补漏洞。文章中涉及到的工具和源码仅供安全测试和学习使用,否则后果自负,与作者无关。0x01反序列化原理Fastjson反序列化,...
Java反序列化漏洞:任意类型解析的风险与攻击利用
文章基于Chris Frohoff和Gabriel Lawrence在2015年的研究,该研究揭示了Java历史上大规模的远程代码执行漏洞,主要源于对象序列化机制。作者指出,这些漏洞不仅限于像Java Serialization或XStream这样功能强大的机制...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

幸竹任

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值