网络安全之反序列化漏洞分析

最新推荐文章于 2024-12-07 10:45:59 发布
原创 最新推荐文章于 2024-12-07 10:45:59 发布 · 1.8k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全 #渗透测试 #网络安全 #信息安全

简介

FastJson是alibaba的一款开源JSON解析库,可用于将Java对象转换为其JSON表示形式,也可以用于将JSON字符串转换为等效的Java对象分别通过toJSONStringparseObject/parse来实现序列化和反序列化。

使用

对于序列化的方法toJSONString()有多个重载形式。

图片.png

  1. SerializeFeature: 通过设置多个特性到FastjsonConfig中全局使用, 也可以在使用具体方法中指定特性
  2. SerializeFilter: 一个接口, 通过配置它的子接口或者实现类就可以以扩展编程的方式实现定制序列化
  3. SerializeConfig: 添加特点类型自定义的序列化配置

对于反序列化的方法parseObject()也同样有多个重载形式。

图片.png

【一一帮助安全学习,所有资源获取处一一】
①网络安全学习路线
②20份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥网络安全必备书籍
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

序列化操作

图片.png

可以发现这两个的区别,如果使用了toJSONString()的属性值SerializerFeature.WriteClassName,就会在序列化的时候多写入一个@type后面跟着的是反序列化的类名。

反序列化操作
package pers.fastjson;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.JSONObject;

public class UnSerialTest {
    public static void main(String[] args) {
        String jsonStringWithType = "{\"@type\":\"pers.fastjson.Student\",\"name\":\"RoboTerh\"}";
        String jsonStringWithoutType = "{\"name\":\"RoboTerh\"}";

        System.out.println("use JSON.parse with type......");
        Object o1 = JSON.parse(jsonStringWithType);
        System.out.println(o1);
        System.out.println("------------------------------------");

        System.out.println("use JSON.parse without type....");
        Object o2 = JSON.parse(jsonStringWithoutType);
        System.out.println(o2);
        System.out.println("-------------------------------------");

        System.out.println("use JSON.parseObject with type.......");
        JSONObject o3 = JSON.parseObject(jsonStringWithType);
        System.out.println(o3);
        System.out.println("--------------------------------------");

        System.out.println("use JSON.parseObject without type.........");
        JSONObject o4 = JSON.parseObject(jsonStringWithoutType);
        System.out.println(o4);
        System.out.println("----------------------------------------");

        System.out.println("use JSON.parseObject without type but hava .Class");
        Student o5 = JSON.parseObject(jsonStringWithoutType, Student.class);
        System.out.println(o5);
    }
}
最低0.47元/天 解锁文章
kali_Ma
关注
网络安全反序列化漏洞复现
kali_Ma的博客
11-22 2522
Apereo CAS 单点登陆系统是Java服务器环境下使用较为广泛的单点登陆系统。CAS 全程Central Authentication Service(中心认证服务),是一个单点登录协议,Apereo CAS是实现该协议的软件包。单点登录定义单点登录(Single sign on),英文名称缩写SSO,SSO的意思就是在多系统的环境中,登录单方系统,就可以在不用再次登录的情况下访问相关受信任的系统,也就是说只要登录一次单体系统就可以。
Jboss(CVE-2017-12149)反序列化命令执行漏洞
weixin_51151498的博客
12-11 2516
Jboss(CVE-2017-12149)反序列化命令执行漏洞
Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现 kali docker
mohanhan
06-23 2606
Shiro RememberMe 1.2.4 反序列化命令执行漏洞复现漏洞环境搭建漏洞复现反弹shell题外话1题外话2 影响版本:Apache Shiro <= 1.2.4 漏洞产生原因: shiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值–>Base64解码–>AES解密–>反序列化。 然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。使用大佬脚本生成 payl
kali靶机之serial】--反序列化漏洞实操
weixin_57240513的博客
08-01 838
使用kali扫描网关的主机。扫到一个开放了80端口HTTP协议的主机ip。
13.反序列化
qq_45926195的博客
10-31 270
13.1什么是反序列化 就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就和我们说,你可以把这个对象序列化了,存成一个字符串..
MySQL JDBC 客户端反序列化漏洞分析 - 安全客,安全资讯平台2
08-03
MySQL JDBC 客户端反序列化漏洞是一种安全性问题,它涉及到Java数据库连接器(JDBC)在处理特定数据库连接字符串时可能存在的风险。这个漏洞主要出现在MySQL Connector/J,即MySQL的Java驱动程序中,允许攻击者通过...
Java Web反序列化网络安全漏洞分析.pdf
03-31
- 过时或不安全的组件:使用了已知存在反序列化漏洞的第三方库,如Apache Commons Collections。 - 缺乏输入验证:未对输入的序列化数据进行严格的校验,使得恶意数据能够成功反序列化。 3. **攻击场景** - 通过...
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 1万+
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
Weblogic反序列化漏洞原理分析漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
热门推荐
网络空间安全学习
09-19 1万+
WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
java 反序列化漏洞 视频_【漏洞分析】利用Node.js反序列化漏洞执行远程代码(含演示视频)...
weixin_42191440的博客
03-04 269
翻译:阻圣预估稿费:100RMB投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿漏洞介绍漏洞名称:Exploiting Node.js deserialization bug for Remote Code Execution漏洞CVE id:CVE-2017-5941漏洞类型:代码执行漏洞简介:不可信的数据传入了unserialize()函数,这导致我们可以通过传递带有立即调...
Java序列化漏洞防护_Java反序列化漏洞的挖掘、攻击与防护
weixin_34822215的博客
03-02 771
1、Java反序列化漏洞的挖掘html一、黑盒流量分析:java在Java反序列化传送的包中,通常有两种传送方式,在TCP报文中,通常二进制流方式传输,在HTTP报文中,则大多以base64传输。于是在流量中有一些特征:socket(1)TCP:必有aced0005,这个16进制流基本上也意味者java反序列化的开始;ide(2)HTTP:必有rO0AB,其实这就是aced0005的base64编...
Fastjson反序列化漏洞复现分析
include_voidmain的博客
03-25 6114
0x01 反序列化过程 fastjson将字符串转换为对象的方法主要有parse和parseObject 其中parseObject也会调用parse来解析json,下面来分析反序列化过程 首先写一个测试的javabean public class TestBean { public String isMessage; public String message; public int id; public String getMessage() { System.out.println("getMess
Fastjson反序列化漏洞原理及漏洞复现
weixin_46263525的博客
04-04 2036
Fastjson反序列化漏洞原理及反弹shell利用
Shiro反序列化漏洞利用——1、kali下docker环境搭建
n0d_xy的博客
08-28 2021
1、kali部属docker环境 1.1直接执行docker命令出错,需重启一下 1.2重启一下 systemctl daemon-reload sudo service docker restart 1.3获取docker镜像 docker pull medicean/vulapps:s_shiro_1 1.4重启docker systemctl restart docker 1.5启动docker镜像 docker run -d -p 8081:8080 medice
『Java安全反序列化-FastJson 1.2.24反序列化漏洞POP链分析_TemplatesImpl和JdbcRowSetImpl JNDI注入分析_marshalsec测试payload利用
Ho1aAs‘s Blog
03-06 1346
文章目录前言版本FastJson基础一、反序列化TemplatesImpl类payload代码审计 | 原理分析JSON.parse()处理byte[]JSON.parse()触发TemplatesImpl.getOutputProperties()代码复现参考完 前言 版本 FastJson <= 1.2.24 FastJson基础 『Java』Fastjson基础 一、反序列化TemplatesImpl类 payload { "@type":"com.sun.org.apache.xalan
FASTJSON反序列化漏洞合集分析小记(一)
lmh666888的博客
06-26 2309
FASTJSON反序列化漏洞合集分析小记
fastjson反序列化漏洞学习(一)
一剑开天门!的博客
02-10 4108
Fastjson 反序列化漏洞产生的原因通常是由于 Fastjson 库在反序列化 JSON 数据时存在安全漏洞。这些漏洞可以被攻击者利用来执行任意代码、访问系统文件、读取敏感数据等危险操作。
Fastjson反序列化漏洞深度解析与利用
最新发布
Yu4xr的博客
12-07 1989
本文全面解析了Fastjson反序列化漏洞的原理、利用方式及修复方法,涵盖不同版本的漏洞绕过技巧和利用场景。
深入解析RMI反序列化攻击及网络安全防护
考虑到与之相关的标签“rmi java反序列化 网络安全”,这个JAR文件极有可能包含用于执行RMI反序列化攻击的工具或代码示例。 在网络安全领域,理解和防御此类攻击是重要的安全措施。开发人员和系统管理员需要对RMI的...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值