探索Jackson-RCE-Via-Spel:安全漏洞的警示与防护

于 2024-06-23 09:46:24 发布
阅读量232 收藏 10
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00024/article/details/139895805
版权

探索Jackson-RCE-Via-Spel:安全漏洞的警示与防护

在深入理解现代Java应用的安全性时,我们必须时刻警惕潜在的风险和威胁。Jackson-databind是一个广泛使用的JSON库,它提供了一种强大的数据绑定机制,但同时也存在一个默认类型的漏洞(CVE-2017-7525),可能导致远程代码执行(RCE)。jackson-rce-via-spel项目就是一个很好的例子,它展示了如何利用Spring表达式语言(SpEL)来放大这个漏洞的影响。

1、项目介绍

jackson-rce-via-spel项目旨在演示如何通过滥用Jackson-databind的默认类型功能以及Spring的应用上下文实现RCE。通过模拟攻击场景,该项目揭示了如果不正确地处理通用类型如Object或Comparable,那么恶意输入可能带来的严重后果。

2、项目技术分析

该示例项目利用了Jackson-databind的一个特性——默认类型序列化。当目标类中包含多态字段(如接口、抽象类或Object基类)时,序列化过程中会包含类型信息,以便在反序列化时使用这些信息。然而,如果输入由攻击者控制,并且目标类含有Object或其他泛型类型字段,则可能会触发安全隐患。

特别是,项目展示了如何通过Spring的FileSystemXmlApplicationContext从任何位置(甚至是远程HTTP源)加载配置文件,从而将Jackson漏洞与Spring的灵活性结合起来,进一步扩展攻击面。

3、项目及技术应用场景

对于开发者来说,理解并防范这种风险至关重要,特别是在开发大型企业级软件或依赖于Jackson和Spring的复杂系统时。这个项目可以帮助开发者了解这类漏洞如何产生,并为安全审计和防御提供参考。

4、项目特点

  • 示例清晰:项目提供了一个具体的例子,以展示漏洞的利用方式,帮助开发者直观理解问题所在。
  • 针对性强:针对CVE-2017-7525的后续研究,揭示了黑lists的局限性。
  • 教育意义:提醒开发者避免在设计时过度依赖Object等非类型安全的基础类。
  • 缓解策略:提供了受影响版本列表,并指出升级到修复后的版本是有效的预防措施。

为了保护您的应用程序,我们强烈建议您检查是否正在使用受影响的Jackson-databind版本,并尽快更新到安全补丁后的版本。此外,还应考虑使用白名单策略来限制序列化行为,以提高安全性。

参考资料

  1. 关于Jackson-CVEs的那些事儿:别慌,你需要知道的就是这些
  2. 利用Jackson RCE漏洞(CVE-2017-7525)进行攻击

让我们共同提升对代码安全的认识,构建更加健壮的软件系统。

倪澄莹George
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
[JAVA安全]JACKSON反序列化
snowlyzz的博客
01-28 2054
JACKSON反序列化原理
Jackson 反序列化漏洞原理
王嘟嘟的博客
02-28 2969
Jackson 最基础的功能就是将制定的类 序列化 to json,然后json to 序列化的这样一个工具第三方库,正常情况下因为需要执行类进行转换,所以除非是故意留有后门,否则是不会出现问题的。但是为了处理一个情况,就是处理未知的json转换的时候,需要对多种场景进行处理。于是就有了Jackson多态机制。如:需要处理多个子类的情况。那么当json中的指定的类的seter或者无参构造方法中存在可利用点的时候,就会造成有效的反序列化攻击。也就是需要找的反序列化调用链。
【Java Web 安全】jackson漏洞探究、利用、预防
qqchaozai的专栏
08-15 4802
前言 阿里云安全公告:2019年7月31日,阿里云应急响应中心监测到有安全研究人员披露Jackson最新反序列化远程代码执行漏洞(CVE-2019-14361和CVE-2019-14439)。同事说怎么jackson这类的json序列化库经常报漏洞,而且基本都是高危漏洞,这些漏洞到底怎么来的,jackson的开发程序员就这么不靠谱么?改不完的BUG?这篇文章就让我们走进jackson的世界,感受...
CVE-2020-36189 jackson-databind java反序列化漏洞
mirocky的博客
10-13 2582
该方法允许json字符串中指定反序列化java对象的类名,而在使用Object、Map、List等对象时,可诱发反序列化漏洞,导致可执行任意命令。com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource类中实现了url的输入和调用,通过可控的url进行payload的打入,即可依靠ObjectMapper的反序列化漏洞实现SSRF和RCE。,}]的形式,将对象的参数的类名打印,是json中的类名。
再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报
2401_83621784的博客
04-12 1765
外行看热闹,内行看门道。千万不能说Fastjson出了个漏洞Jackson也来一个就得出结论说打平手了,那会稍显外行。正所谓假设可以大胆,但小心求证,下结论需要谨慎。总的来说,此次漏洞影响甚小,不用大惊小怪,我就继续我的Jackson之旅啦。自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
xalanjava源码-Jackson-RCE:杰克逊-RCE
06-05
com.fasterxml.jackson.core:jackson-databind:2.8.8 夏兰:夏兰:2.7.2 不安全的反序列化(多态类型) 不可信输入接受 目录结构 src/... : 描述反序列化利用的源代码(使用) 漏洞利用:为DeSerializaiton漏洞制作...
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 com.oracle.wls.shaded.org.apache.xalan.lib.sql.JNDIConnectionPool(又名嵌入 org.glassfish 中的 Xalan)相关的序列化小工具和类型之间的交互。...
CVE-2020-36179:CVE-2020-36179~82 Jackson-databind SSRF&RCE
05-29
描述CVE-2020-36179:2.9.10.8之前的FasterXML jackson-databind 2.x处理与oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。 CVE-2020-36180:FasterXML jackson-...
Struts2-RCE:Burp Extender用于检查struts 2 RCE漏洞
04-15
Struts2-RCE 一个Burp Extender,用于检查struts 2 RCE漏洞。描述此burp扩展有助于识别struts2 Web应用程序中的Struts2远程代码执行漏洞。 此Burp扩展程序检测以下18个RCE,它们是S2-001 S2-007 S2-008 S2-012 S2-...
jackson-rce-via-two-new-gadgets:两种不同的小工具绕过jackson-databind中的RCE黑名单
05-14
现在在该项目中,您将看到如何使用两个不同的小工具绕过该黑名单并成功利用RCE漏洞。 MITER为此问题分配了CVE-2018-5968。受影响的版本从2.8.11和2.9.x到2.9.3减轻此问题已在2.9.4中修复。 因此,只需更新到最新...
2024年网络安全最新再爆安全漏洞,这次轮到Jackson了,竟由阿里云上报
最新发布
2401_84297455的博客
05-03 1142
熟悉A哥的小伙伴知道,自从Fastjson上次爆出重大安全漏洞之后,我彻底的投入到了Jackson的阵营,工作中也慢慢去Fastjson化。
反序列化漏洞例子——jackson反序列化漏洞的调试与分析
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-30 3532
文章目录反序列化例子漏洞原因漏洞条件enableDefaultTyping@JsonTypeInfo总结调试CVE-2017-7525(基于TemplatesImpl利用链)影响版本利用 Jackson 是用来序列化和反序列化 json 的 Java 的开源框架,Jackson 运行时占用内存比较低,性能比较好,且不依靠除JDK外的其他库。 反序列化例子 举一个jackson进行序列化和反序列化的例子,首先,我的依赖包如下所示: <!-- jackson --> <depe
Jackson CVE-2018-19361 反序列化漏洞
王嘟嘟的博客
03-10 409
涉及版本:
java jackson漏洞_【Java进阶】Jackson安全漏洞,可导致服务器文件被恶意窃取
weixin_42322686的博客
02-16 804
上周升级完Fastjson之后,去了解了下Jackson是否也有相关的漏洞。 果不其然,看到了一个issue虽然这个issue是好几个月前的了,但是可能大家对Jackson比较不在意,以为国外的开源要牛逼一点,不会像Fastjson那么多问题,这里要纠正一点,fastjson之所以问题多,那是因为你接触的多,Jackson的问题其实也不少,只是你接触的少。 就拿这种issue的问题来说,这个漏洞...
logstash的jackson-databind漏洞修复
洁哥哥的博客
06-06 1417
【代码】jackson-databind漏洞修复。
Jackson 远程命令执行漏洞(CVE-2019-12384)
锋刃科技的博客
06-26 8172
前言 由于Jackson黑名单过滤不完整而导致,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。 影响版本 Jackson-databind 2.0.0 ~2.9.9.1 环境搭建 创建一个docker-compose.yml的文件 version: '2' services: web: image: te
Jackson-databind 反序列化漏洞(CVE-2017-7525、CVE-2017-17485)
zzzzz1284的博客
03-13 1299
CVE-2017-7525、CVE-2017-17485
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

倪澄莹George

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值