JAVA反序列化漏洞攻守之道

1、 什么是反序列化漏洞

        序列化就是把对象转成字节流，便于存储在文件、内存、数据中。如ObjectOutputStream中的writeObject()方法。

        反序列化是序列化的逆向过程，将字节流还原成对象。如ObjectInputStream类中readObject()方法。

        序列化和反序列是让Java对象脱离Java运行环境传输的一种手段，多用于数据传输和存储。在微服务和远程调用大流行的情形下，序列化和反序列化随处可见，漏洞防守也是重中之重。

        反序列化漏洞就是攻击者通过构造恶意输入，让应用程序对不可信数据做了反序列化处理，产生非预期的对象时造成任意代码执行，从而达到攻击目的。

2、 反序列化漏洞的危害

        当应用程序从反序列化不可信数据时，可能会造成任意代码执行。

3、 反序列化漏洞的防守方法

        反序列化漏洞本质是反序列化时产生了非预期对象，且反序列化应用十分广泛，存在于应用系统、各种中间件中。部分场景和业务高度耦合，无法统一处理。所以区分不同场景来讲防守方法，如下：

        针对于各种中间件：

        1、技术选型时，选择社区高度活跃且成熟度较高的开源组件，或采购成熟的商业组件。

        2、随时关注组件的安全版本发布，及时更新。

        针对内部应用系统：

        1、加强代码审查，及时发现序列化和反序列化应用场景，并评估安全等级。

        2、可采用各大公司发布的安全加固包，来及时识别过滤反序列化风险。

        3、可自行开发反序列化组件，过滤掉存在风险的反序列化工具。