1、 什么是反序列化漏洞
序列化就是把对象转成字节流,便于存储在文件、内存、数据中。如ObjectOutputStream中的writeObject()方法。
反序列化是序列化的逆向过程,将字节流还原成对象。如ObjectInputStream类中readObject()方法。
序列化和反序列是让Java对象脱离Java运行环境传输的一种手段,多用于数据传输和存储。在微服务和远程调用大流行的情形下,序列化和反序列化随处可见,漏洞防守也是重中之重。
反序列化漏洞就是攻击者通过构造恶意输入,让应用程序对不可信数据做了反序列化处理,产生非预期的对象时造成任意代码执行,从而达到攻击目的。
2、 反序列化漏洞的危害
当应用程序从反序列化不可信数据时,可能会造成任意代码执行。
3、 反序列化漏洞的防守方法
反序列化漏洞本质是反序列化时产生了非预期对象,且反序列化应用十分广泛,存在于应用系统、各种中间件中。部分场景和业务高度耦合,无法统一处理。所以区分不同场景来讲防守方法,如下:
针对于各种中间件:
1、技术选型时,选择社区高度活跃且成熟度较高的开源组件,或采购成熟的商业组件。
2、随时关注组件的安全版本发布,及时更新。
针对内部应用系统:
1、加强代码审查,及时发现序列化和反序列化应用场景,并评估安全等级。
2、可采用各大公司发布的安全加固包,来及时识别过滤反序列化风险。
3、可自行开发反序列化组件,过滤掉存在风险的反序列化工具。