Freddy:自动化识别Java与.NET应用中的反序列化问题
项目地址: https://gitcode.com/gh_mirrors/fre/freddy 项目介绍
Freddy是一款专为Burp Suite设计的扩展工具,旨在通过主动和被动扫描的方式自动识别Java和.NET应用程序中潜在的反序列化漏洞。该项目由Nick Bloor(@nickstadb)为NCC集团开发,并基于Alvaro Muñoz和Oleksandr Mirosh在Black Hat USA 2017及DEF CON 25上关于“Friday the 13th: JSON Attacks”的研究工作。Freddy不仅能够检测到如FastJson等库中的类型指示器,还能通过监控HTTP响应来捕捉由目标库抛出的异常,从而发现危险的序列化操作。此外,它支持多种数据格式的处理(包括YAML和AMF),并集成了多种高级安全检查功能。
项目快速启动
要快速启动Freddy,首先确保你的环境中已经安装了Burp Suite专业版以及Gradle构建系统。以下是基本步骤:
-
克隆项目:
git clone https://github.com/nccgroup/freddy.git -
构建项目: 进入项目根目录执行以下命令以编译并生成jar文件。
cd freddy gradle jar成功构建后,可找到生成的jar文件位于
build/libs目录下。 -
在Burp Suite中安装插件: 将生成的jar文件拖拽至Burp Suite的“Extender”标签页下的“Extensions”面板,或者通过Burp Suite的“Add extension”按钮导入该jar文件进行安装。
-
配置并使用: 安装后,可以在Burp Suite中启用Freddy,配置其扫描设置,然后开始对目标应用进行被动或主动扫描,以检测和利用潜在的反序列化漏洞。
应用案例和最佳实践
应用案例
假设你在进行安全审计时,怀疑某Web应用可能使用了易受攻击的序列化库。使用Freddy,你可以设置Burp Suite代理该应用流量,在不干扰正常业务流程的情况下,通过被动模式捕获HTTP请求和响应中的特定签名,快速识别是否存在风险。如果需要更深入分析,可通过切换到主动扫描模式,让Freddy尝试触发并检测漏洞。
最佳实践
- 在正式扫描前,应在测试环境验证Freddy的功能,避免误报影响生产环境。
- 配合使用Burp Suite的其他工具(如Intruder)来进一步验证疑似漏洞。
- 定期更新Freddy以获取最新的漏洞检测逻辑和修复。
典型生态项目
虽然Freddy本身专注于反序列化漏洞检测,但其作为Burp Suite的一个插件,属于网络安全生态的一部分。在处理企业级应用安全时,可以结合使用其他安全工具和框架,比如OWASP ZAP用于自动化漏洞扫描,或是使用Java生态的安全库(如OWASP ESAPI)加固应用本身,形成一套全面的应用安全解决方案。
通过上述步骤,开发者和安全研究人员可以有效地集成并运用Freddy来提高他们对软件安全性评估的能力,尤其是在应对复杂的反序列化攻击方面。
扫一扫
347
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
