【信息安全服务】代码审计之反序列化漏洞分析

最新推荐文章于 2024-06-16 15:30:00 发布
最新推荐文章于 2024-06-16 15:30:00 发布
阅读量498 收藏 1
点赞数
分类专栏: 信息安全服务笔记及分享 文章标签: Java反序列化 代码审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/keylion_/article/details/104826665
版权

1.Java反序列化

序列化是用于将对象转换成二进制串存储起来,而反序列化则是相反,将二进制串转化为对象。Java的反射机制可以为日常开发提供众多遍历,但这样的设计同样存在安全风险。通过反射机制攻击者可以越过Java的静态检查和类型约束,直接访问并且修改目标对象的属性和状态。

2.关键函数

ObjectInputStream()

readObject()

当程序设计人员使用ObjectInputStream的readObject方法进行对象读取时,readObject方法可能会造成恶意代码被执行的风险。

import org.apache.commons.lang.SerializationUtils:
    public ClusterConfig getClusterConfig(){
        if (getConfBytes() == null) {
               return null;
        }
        return (ClusterConfig) SerializationUtils.deserializa(getConfBytes());

private static void deserialize() throws FileNotFoundException,IOException,ClassNotFoundException {
    FileInputStream fis = new FileInputStream(new File(pathname:"person.ser"));
    ObjectInputStream ois = new ObjectInputStrem(fis);
    Person p = (Person)ois.readObject();
    System.out.printIn("name:"+p.getName()+" age"+p.getAge());
}

3.常见几类反序列化漏洞

(0x1)Weblogic

XMLDecoder 反序列化漏洞(如CVE-2017-3506、CVE-2017-10271、CVE-2019-2725)

JRMP反序列化漏洞(CVE-2015-4852 CVE-2016-0638 CVE-2016-3510 CVE-2017-3428 CVE-2018-2628 CVE-2018--2893))

 (0x2) Spring JNDI 反序列化漏洞

 (0x3) Fastjson 反序列化漏洞 

(0x4) Jackson 反序列化漏洞 (CVE-2019.12086 CVE-2019-12384 CVE-2019-14361 CVE-2019-14379)

4.框架层面的主动防护

     JEP 290是Oracle针对Java反序列化提出的一种增强安全机制,并在JDK6u141、7u131、8u121及最新的JDK9和10进行了集

成;

JEP290为用户用户提供一个更加简单有效并且可配置的过滤机制,以及对RMI导出对象执行检查。其核心实际上就是提供了一个

名为ObjectInputFilter的接口,用户在进行反序列化操作的时候,将filter设置给ObjectInputStream对象。这里就是用的

setInternalObjectInputFilter方法:

private final void setInternal0bjectInputFilter(0bjectInputFilter filter) {
    SecurityManager sm = System.getSecurityManager();
    if (sm != null) {
        sm.checkPermission(new SerializablePermission(name: " serialFilter"));
    }
    if (serialFilter != null && serialFilter != ObjectInputFilter.Config.getSerialFilter()) {
        throw new IllegalStateException("filter can not be set more than once" );
    }
    this.serialFilter = filter;
}

 

Keyli0n
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java代码审计反序列化(代码执行)
糖小喵
05-06 517
前言 序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。只有实现了 Serializable 和 Externalizable 接口的类的对象才能被序列化。 Java 程序使用 ObjectInputStream 对象的 readObject 方法将反序列化数据转换为 java 对象。但当输入的反序列化的数据可被用户控制,那么攻击者即可...
Java Web反序列化网络安全漏洞分析.pdf
03-31
- 过时或不安全的组件:使用了已知存在反序列化漏洞的第三方库,如Apache Commons Collections。 - 缺乏输入验证:未对输入的序列化数据进行严格的校验,使得恶意数据能够成功反序列化。 3. **攻击场景** - 通过...
PHP代码审计 11 反序列化漏洞
kevinhanser
07-21 711
本文记录 PHP 代码审计的学习过程,教程为暗月 2015 版的 PHP 代码审计课程 PHP 代码审计博客目录 1. 简介 漏洞生成条件 1.unserialize 函数的参数可控 2.脚本中存在一个构造函数。析构函数、——wakeup函数中有类 对象中的成员变量的值 解释 php允许保存一个对象方便以后重用,这个过程被称为序列化。为什么要有序列化这种机制呢?...
代码审计-Java项目审计-SQL注入漏洞
最新发布
logic1001的博客
06-16 815
代码审计必备知识点:1、代码审计开始前准备:环境搭建使用,工具插件安装使用,掌握各种漏洞原理及利用,代码开发类知识点。2、代码审计前信息收集:审计目标的程序名,版本,当前环境(系统,中间件,脚本语言等信息),各种插件等。3、代码审计挖掘漏洞根本:可控变量及特定函数,不存在过滤或过滤不严谨可以绕过导致的安全漏洞。4、代码审计展开计划:审计项目漏洞原理->审计思路->完整源码->应用框架->验证并利用漏洞代码审计两种方法:功能点或关键字分析可能存在漏洞
Java代码审计——Fastjson1.2.25反序列化漏洞
王嘟嘟的博客
02-28 3934
0x00 前言 反序列化总纲 1.2.24可参考:1.2.24fastjson 继1.2.24fastjson之后,对该漏洞进行了修复,从而有了Fastjson1.2.25反序列化漏洞 这里分为两类,一类是主动开启了AutoType,还有一类是未开启AutoType 0x01 1.2.25防护 我们这里以1.2.24的payload进行测试: String payload="{\"@type\":\"com.sun.rowset.JdbcRowSetImpl\",\"dataSourceName\":\"
代码审计-变量覆盖和反序列化漏洞
weixin_44770698的博客
07-08 712
代码审计-变量覆盖与反序列
Java代码审计——Fastjson1.2.60反序列化漏洞
王嘟嘟的博客
03-01 5700
0x00 前言 反序列化总纲 1.2.24可参考:1.2.24fastjson 1.2.25-1.2.41 可参考:1.2.25 1.2.25-1.2.42 可参考:1.2.42 1.2.43可参考1.2.43 1.2.60的利用方式,实际上就是绕过了fastjson的黑名单,前提还是要autotype开启,并且存在相对应的库。 0x01 环境 maven中加入以下,然后刷新即可。 <dependency> <groupId>commons-c
基于Java Web的反序列化信息安全漏洞挖掘研究.pdf
03-31
反序列化漏洞通常源于Java的序列化和反序列化机制。序列化是将对象转换为字节流的过程,便于存储或在网络中传输,而反序列化则是将字节流恢复为对象。这个过程通常由Java的标准库或第三方库(如Apache Commons ...
Java反序列化实战.pdf
08-08
- **Ysoserial**:原生序列化PoC生成工具,可用于测试和验证潜在的序列化漏洞。 - **Marshalsec**:第三方格式序列化PoC生成工具,支持多种序列化方式。 - **Freddy**:Burp插件,用于测试和探测Java反序列化漏洞...
Java安全漫谈 - 07.反序列化篇(1)1
08-03
Java反序列化漏洞详解 Java安全领域中的反序列化漏洞是一个重要的议题,它涉及的是将对象从二进制数据恢复为程序可以理解的形式...通过遵循安全编码实践,结合使用安全框架和库,可以显著降低反序列化漏洞带来的威胁。
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)
09-14
Weblogic反序列化远程代码执行漏洞(CVE-2018-2893)是Oracle WebLogic Server中一个严重安全问题,它涉及到组件T3协议处理中的对象反序列化过程。该漏洞允许攻击者通过构造恶意的T3请求,远程执行任意代码,从而...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。阿里云应急响应中心提醒Jackson用户尽快采取安全措施阻止漏洞攻击。
yii2.0.37反序列化漏洞审计
soufaker的安全屋
12-16 637
网上很多师傅都有审计yii2.0.37反序列化漏洞,自己也弄来学习学习
php代码审计【12】反序列化漏洞
司徒荆的博客
06-27 365
反序列化漏洞
PHP代码审计12—反序列化漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-09 1450
PHP反序列化入门
Java代码审计安全篇-反序列化漏洞
m0_63138919的博客
03-15 1332
​ 本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误 ​
补充:Java代码审计 - 反序列化漏洞
feekee的自留研习地
12-01 534
Java代码审计 - 反序列化漏洞 知识点记录
远程命令执行与反序列化之——反序列化原理介绍与漏洞产生原因分析
温柔小薛的博客
04-12 693
反序列化原理介绍与漏洞产生原因分析 什么是反序列化 就是把一个对象变成可以传输的字符串,目的就是为了方便传输。 假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。 当我们写一个小型的项目可能没有...
学习笔记-java代码审计-反序列化
人饭子的博客
11-13 881
Java代码审计-反序列化 0x00 漏洞挖掘 业务代码 简单来说,找readObject/readUnshared就好了 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String baseStr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Keyli0n

赠人玫瑰 手有余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值