InsecureDeserialization(不安全的反序列化)

最新推荐文章于 2024-07-15 22:02:35 发布
最新推荐文章于 2024-07-15 22:02:35 发布
阅读量2.4k 收藏 2
点赞数 3
分类专栏: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_37216944/article/details/85220885
版权
反序列化是将序列化的数据恢复成程序可用的数据,这个过程可能引发安全问题,如远程代码执行或权限提升。防御措施包括完整性校验(如JWT)、数据类型校验、详细日志记录和监控。HTTPS仅保护传输安全,不能防止反序列化攻击。实战示例展示了JBoss的反序列化漏洞利用。
摘要由CSDN通过智能技术生成

什么是反序列化?

有些时候我们需要把应用程序中的数据以另一种形式进行表达,以便于将数据存储起来,并在未来某个时间点再次使用,或者便于通过网络传输给接收方。这一过程我们把它叫做序列化。典型的例子是,用户数据被序列化后存储到数据库中,另一个例子是在Stateless架构下,用户登陆后的身份数据被序列化存储到了浏览器中。

在这里插入图片描述
反序列化和序列化是两个正好相反的过程。当我们要再次使用这些数据的时候,应用程序读取序列化之后的数据,并将其恢复成应用程序中的数据。例如服务器端从Redis中读出一个键值对,其内容是JSON格式的字符串,代表了某个用户的个人资料,并将其恢复成应用程序可使用的数据。
反序列化有什么安全问题?
尽管反序列化最严重可导致远程代码执行(RCE,Remote Code Execution),但最常见的反序列化安全问题却是通过修改序列化之后的数据字段,从而进行提权或越权操作。
举例来说,服务器端为了能快速横向扩展而被设计成了后端无服务状态架构,这也就意味着用户登陆后,其身份信息(例如用户ID,姓名,角色,登陆时间戳等)被保存到了浏览器cookie当中,在后续的请求里将会被自动发往服务器。
在这里插入图片描述
图:用户登陆后,服务器将用户身份信息存储在浏览器cookie中

存储于cookie中的这份数据的格式是应用程序自定义的,但攻击者通过探索尝试后发现,修改其中的某个字段就能将用户从普通用户修改为管理员。
存储于cookie中的原始数据:
Cookie: 3844998|AliceM|y|27|NU|active|null|201809
经过修改后的数据
Cookie: 3844998|AliceM|y|27|ADMIN|active|null|201809
由于缺乏对数据完整性的校验,服务器端在收到被修改过的这段数据后

最低0.47元/天 解锁文章
Shannonnnn
关注
专栏目录
安全的反序化基础原理(Insecure deserialization)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
03-15 1148
安全的反序化 文章目录不安全的反序化pikachu123 pikachu 1 class S{ var $test = "pikachu"; function __construct(){ echo $this->test; } } $html=''; if(isset($_POST['o'])){ $s = $_POST['o']; if(!@$unser = unserialize($s)){ $html.="<p&g
【网络安全 | CTF】记一次PHP序列化反序列化解题详析
等风来
08-24 3940
代码开门见山给出backdoor函数,而该函数在popko类的call方法中调用故需要运行call方法而call方法是在对象上下文中调用不可访问的方法时触发的故需要调用不可访问的方法 而恰巧destruct方法中并不存在a对象和a函数故需要运行destruct方法而destruct方法在对象被销毁时触发 如何实现对象被销毁呢? 当序列化后的语句被反序列化之后,对象会被销毁,从而触发destruct方法 所以思路就是: 在pipimi类中构造一个对象,当pipimi中的destru
关于Insecure Deserialization,不安全反序列化
小雨的博客
03-06 3501
安全反序列化,owasp top 10,web安全
Java反序列化漏洞详解(易懂)
最新发布
weixin_63350467的博客
07-15 1661
这篇文章主要还是让大家简单理解为啥会出现这个漏洞,以及查找漏洞的流程。对于java的序列化,反射,类加载等知识点的详细内容,大家可以自己感兴趣找找。这里主要还是让和我一样的小白简单理解一下这个漏洞的原理。
webgoat-Insecure Deserialization安全的序列化
seanyang_的博客
11-06 611
序列化是将某些对象转换为以后可以恢复的数据格式的过程。人们经常序列化对象,以便将它们保存到存储中,或作为通信的一部分发送。反序列化是从某种格式获取结构化数据并将其重建为对象的过程的逆过程。如今,最流行的序列化数据格式是 JSON。在此之前,它是 XML。a:4:{i:0;i:132;i:1;s:7:“马洛里”;i:2;s:4:“用户”;i:3;
Web Security 之 Insecure deserialization
javagty6778的博客
02-17 96
序列化是将复杂的数据结构(如对象及其字段)转换为“更扁平”的格式的过程,该格式的数据可以作为字节流序列发送和接收。将复杂数据写入进程间内存、文件或数据库发送复杂数据,例如,通过网络或API调用,在应用程序的不同组件之间传递复杂数据关键的是,当序列化一个对象时,其状态也将保持不变。换句话说,对象的属性及其赋值都会被保留。不安全反序列化是指用户可控制的数据被网站反序列化。这会使攻击者能够操纵序列化的对象,以便将有害数据传递到应用程序代码中。甚至可以用完全不同类的对象替换序列化对象。
C++ JSON 序列化与反序列化
06-22
C++的JSON序列化和反序列化是开发Web服务、网络通信或存储配置文件时必不可少的技术。选择合适的库并理解其工作原理,能帮助我们更高效地处理JSON数据。通过实践和学习,可以掌握更多高级技巧,如自定义序列化策略、...
网络安全反序列化漏洞分析
lzhy666的博客
06-10 3281
FastJson 是 alibaba 的一款开源 JSON 解析库,可用于将 Java 对象转换为其 JSON 表示形式,也可以用于将 JSON 字符串转换为等效的 Java 对象分别通过toJSONString和parseObject/parse来实现序列化和反序列化
java安全(五)java反序列化
weixin_45694388的博客
04-09 6366
序列化 在调用RMI时,发现接收发送数据都是反序列化数据. 例如JSON和XML等语言,在网络上传递信息,都会用到一些格式化数据,大多数处理方法中,JSON和XML支持的数据类型就是基本数据类型,整型、浮点型、字符串、布尔等,如果开发者希望在传输数据的时候直接传输一个对象,那么就不得不想办法扩展基础的JSON(XML)语法。比如,Jackson和Fastjson这类序列化库,在JSON(XML)的基础上进行改造,通过特定的语法来传递对象. RMI使用java等语言内置的序列化方法,将一个对象转化成一串二进制
Introduction_to_Insecure_Deserialization.pdf
02-27
Introduction_to_Insecure_Deserialization.
【序列化】UNSAFE_DESERIALIZATION安全反序列化反序列化漏洞
m0_45406092的博客
08-21 6863
Unsafe Deserialization 进行代码检查时,Coverity工具在进行json转换时,报Unsafe Deserialization错误,字面意思是不安全反序列化,根本原因就是反序列化会有漏洞导致的。 看完下文反序列化漏洞的原理后,我们就知道该如何解决这个问题了。 反序列化漏洞 ...
WebGoat JAVA反序列化漏洞分析复现
leah126的博客
03-09 710
该方法代码如下,首先第6行进行传参token,跟到第10行,在进行反序列化对象创建的时候,进行了base64解码并返回到ois变量。但根据上面的代码分析也得知需要在提交之后,会进行base64解码,所以需要提前加密,但是像这种序列化数据直接copy出来并加密的话。为此写了加密的小工具。进行简单分析一波之后,使用ysoserial生成序列化的payload,这里的话不做过多讲解,具体使用应该大家都会。当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
OWASP TOP10系列之TOP8 # A8 不安全反序列化
weixin_43125873的博客
08-15 474
OWASP TOP10系列之#TOP8# A8-Insecure Deserialization安全反序列化 文章目录OWASP TOP10系列之#TOP8# A8-Insecure Deserialization安全反序列化前言一、Insecure Deserialization安全反序列化是什么?什么情况有反序列化安全问题怎么防御反序列化攻击?其他防御措施误区总结 前言 一、Insecure Deserialization安全反序列化是什么? 有些时候我们需要把应用程序中的数据以
代码审计(Java)——WebGoat_InsecureDeserialization
weixin_45260839的博客
09-23 367
代码审计(Java)——WebGoat_InsecureDeserialization
使用vulhub复现python反序列化漏洞
weixin_43733035的博客
04-02 466
原理: tcp/ip协议只支持字节数组的传输,不能直接传输对象。python的序列化和反序列化就是将一个类对象向字节流转化从而进行存储和传输,然后使用的时候再将字节流转化回原始的对象的一个过程。 参考: https://www.sohu.com/a/274879579_729271 复现过程: 打开网页会发现一个欢迎页面 显示的内容是hello {username},username是取cook...
WebGoat8.2.2-A8不安全反序列化
weixin_45032957的博客
12-02 596
1、概念 使用反序列化在各编程语言中略有不同,如Java、PHP、Python、Ruby、C/C++等等,但在关键概念上是一样的 序列化:将(内存中的)对象转化成数据格式,以便存储或传输 反序列化:即序列化的反过程,从某种格式的数据中构建对象 如今最受欢迎的序列化数据格式是JSON,而在这之前是XML,只有数据是序列化的,而代码本身不是 2、Native Serialization-本地序列化/客制序列化 一些编程语言提供了自己的序列化功能,所使用的数据格式比一般的JSON或XML拥有更多的特性和功能,甚至
Java deserialization RCE in Tomcat cluster
热门推荐
Exploit的小站~
05-10 1万+
最近楼主也没有其他的时间来做漏洞研究了,读者们可以从本博上次更新的时间就可以看出来=_,=。 但是为了一直关注本楼主的朋友们,我决定拿出两年前的一个存货(其实是辣鸡洞)分享,诚意满满(大雾)。 以下是正文: —————————————————————————————————————————————————————— TL;DR: 本文主要介绍Tomcat集群的实现机制以及如何发现了反序列化...
Java对象序列化与反序列化详解
- 默认序列化不会调用类的构造方法,因此在反序列化时不初始化对象。 了解和掌握Java对象的序列化与反序列化技术对于开发涉及数据持久化和网络通信的项目至关重要。这不仅可以帮助开发者保存和恢复对象状态,还可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值