java rmi反序列化安全漏洞问题解决方案

最新推荐文章于 2024-06-27 22:49:26 发布
最新推荐文章于 2024-06-27 22:49:26 发布
阅读量2.3k 收藏 2
点赞数
文章标签: 安全漏洞 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/limingdepoxiao/article/details/118211129
版权

解决方案

1关闭java rmi服务的端口在公网的开放;

2、下载SerialKiller临时补丁,这个jar后放置于classpath,将应用代码中的java.io.ObjectInputStream替换为SerialKiller,之后配置让其能够允许或禁用一些存在问题的类,SerialKiller有Hot-Reload,Whitelisting,Blacklisting几个特性,控制了外部输入反序列化后的可信类型

例如:采用下载SerialKiller补丁,将IDoc2PdfUtilService接口的doc2Pdf代码中的java.io.ObjectInputStream替换为SerialKiller;

3在不影响业务的情况下,临时删除掉项目里的InvokerTransformer.class文件;

4对WebLogic、Apache、JBoss等中间件进行升级。

分析参考:https://www.freebuf.com/column/200796.html

雪灵~
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
rmi反序列化导致rce漏洞修复_RMI反序列化漏洞分析
weixin_39710249的博客
12-23 478
RMI简介首先看一下RMI在wikipedia上的描述:Java远程方法调用,即JavaRMI(JavaRemote MethodInvocation)是Java编程语言里,一种用于实现远程过程调用的应用程序编程接口。它使客户机上运行的程序可以调用远程服务器上的对象。远程方法调用特性使Java编程人员能够在网络环境中分布操作。RMI全部的宗旨就是尽可能简化远程接口对象的使用。JavaRMI极大地依...
网络安全筑基篇——反序列化漏洞
最新发布
weixin_55762309的博客
06-27 1317
反序列化漏洞原理详解
rmi反序列化导致rce漏洞修复_JAVA反序列化漏洞解决办法
weixin_39527911的博客
12-23 498
一、漏洞描述:近期,反序列化任意代码执行漏洞持续发酵,越来越多的系统被爆出存在此漏洞。Apache Commons工具集广泛应用于JAVA技术平台,存在Apache Commons Components InvokerTransformer反序列化任意代码执行漏洞, WebLogic、IBM WebSphere、JBoss、Jenkins和OpenNMS等应用都大量调用了Commons工具集,通过...
oracle 序列_Oracle WebLogic最新高危反序列化漏洞修复方法
weixin_39782573的博客
11-25 398
漏洞说明在 WebLogic 里,InboundMsgAbbrev中的resolveProxyClass是可以对rmi的类型进行处理的,但是只简单判断了java.rmi.registry.Registry,为攻击者提供了绕过黑名单的机会,攻击者可以通过使用其他的rmi来绕过Weblogic的黑名单限制。除此之外,java远程方法协议会序列化一个RemoteObjectInvocationHandl...
自检代码中trustmanager漏洞_Fasterxml Jacksondatabind漏洞分析与利用
weixin_39640767的博客
11-22 852
一、 Fasterxml Jackson-databind组件介绍FasterXML Jackson是美国FasterXML公司的一款适用于Java的数据处理工具。Jackson-databind是其中的一个具有数据绑定功能的组件。Jackson-databind可以将Java对象转换成json对象,同样也可以将json转换成Java对象。二、各版本介绍Fasterxml的jackson...
rmi 反序列化漏洞_Java安全之RMI反序列化
weixin_35374026的博客
01-13 1185
Java安全之RMI反序列化0x00 前言在分析Fastjson漏洞前,需要了解RMI机制和JNDI注入等知识点,所以本篇文来分析一下RMI机制。在Java里面简单来说使用Java调用远程Java程序使用的就是RMI,调用C的程序调用的是JNI,调用python程序使用到的是Jython。RMI、JNI、Jython,其实在安全中都能发挥比较大的作用。 JNI在安全里面的运用就比较大了,既然可以...
rmi 反序列化漏洞_Java反序列化漏洞详解
weixin_36319281的博客
12-31 526
阅读:26,150Java反序列化漏洞从爆出到现在快2个月了,已有白帽子实现了jenkins,weblogic,jboss等的代码执行利用工具。本文对于Java反序列化漏洞简述后,并对于Java反序列化的Poc进行详细解读。Java反序列化漏洞简介Java序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中,Java中的ObjectOutputStream类的writeObject()方...
Java反序列化安全漏洞防控
04-19
Java反序列化安全漏洞是一种严重的安全威胁,...总之,Java反序列化安全漏洞是一个广泛存在且危害严重的安全问题。只有通过不断的关注安全动态、实施有效的防御措施以及定期更新和打补丁,才能确保Java应用的安全运行。
Java序列化反序列化原理及漏洞解决方案
08-18
Java序列化反序列化原理及漏洞解决方案 Java序列化反序列化原理及...Java序列化反序列化原理及漏洞解决方案Java编程语言中的一项重要机制,但同时也存在一些安全漏洞,需要开发者在使用时进行严格的安全检查和防范。
java安全(五)java反序列化
weixin_45694388的博客
04-09 6341
序列化 在调用RMI时,发现接收发送数据都是反序列化数据. 例如JSON和XML等语言,在网络上传递信息,都会用到一些格式化数据,大多数处理方法中,JSON和XML支持的数据类型就是基本数据类型,整型、浮点型、字符串、布尔等,如果开发者希望在传输数据的时候直接传输一个对象,那么就不得不想办法扩展基础的JSON(XML)语法。比如,Jackson和Fastjson这类序列化库,在JSON(XML)的基础上进行改造,通过特定的语法来传递对象. RMI使用java等语言内置的序列化方法,将一个对象转化成一串二进制
javaWeb安全验证漏洞修复总结
12-14
目前很多业务都依赖于互联网,例如说网上银行、网络购物、网游等,很多恶意攻击者出于不良的目的对Web 服务器进行攻击,想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样,Web业务平台最容易遭受攻击。同时,对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击
系统漏洞安装(java反序列化补丁漏洞
03-29
java反序列化补丁安装步骤,用于系统weblogic漏洞安装及oracle漏洞安装
反序列化渗透与攻防(二)之Java反序列化漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-12 1122
JAVA反序列化漏洞到底是如何产生的?1、由于很多站点或者RMI仓库等接口处存在java反序列化功能,于是攻击者可以通过构造特定的恶意对象后的流,让目标反序列化,从而达到自己的恶意预期行为,包括命令执行,甚至 getshell 等等。2、Commons Collections是开源小组Apache研发的一个 Collections 收集器框架。
Java RMI Registry 反序列化漏洞复现(<jdk8u232_b09)
0xSec
02-20 1127
Java Remote Method Invocation 用于在Java中进行远程调用。RMI存在远程bind的功能(虽然大多数情况不允许远程bind),在bind过程中,伪造Registry接收到的序列化数据(实现了Remote接口或动态代理了实现了Remote接口的对象),使Registry在对数据进行反序列化时触发相应的利用链(环境用的是commons-collections:3.2.1)。
rmi反序列化导致rce漏洞修复_记一次Java反序列化漏洞的发现和修复
weixin_39604516的博客
12-23 665
作者:bit4@勾陈安全0x00 背景简介本文是自己对一次反序列化漏洞的发现和修复过程,如有错误请斧正,大神请轻喷。目标应用系统是典型的CS模式。客户端是需要安装的windows桌面程序,但是它是大部分内容都是基于Java开发(安装目录有很多Jar包)。服务端是基于Jboss开发。客户端和服务端之间的通信流量是序列化了的数据流量。客户端接收和解析数据流量的模式和服务端一样,也是通过http服务,它...
RMI反序列化漏洞分析
蚁景网安学院
08-15 463
RMI简介首先看一下RMI在wikipedia上的描述:Java远程方法调用,即JavaRMIJavaRemote MethodInvocation)是Java编程语言里,一种用于实现...
rmi反序列化导致rce漏洞修复_CVE20209484:Tomcat Session 反序列化复现
weixin_39925813的博客
12-10 211
上方蓝色字体关注我们,一起学安全!本文作者:?@Timeline Sec本文字数:1197阅读时长:3~4min声明:请勿用作违法用途,否则后果自负0x01 简介Apache Tomcat 是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。0x02 漏洞概述这次是由于错误配置和 org.apache.catalina.session.File...
rmi反序列化导致rce漏洞修复_ADOBE ColdFusion Java RMI 反序列化 RCE 漏洞详情(CVE-2018-4939)...
weixin_39883208的博客
12-31 223
前言2017年10月我发布了一个Java RMI/反序列化漏洞的概述和PoC视频,该漏洞影响了AdobeColdFusion的Flex集成服务。我推迟发布所有细节和利用方法,因为发现了一个额外的可用于修复服务器的payload。Adobe现在已经发布了进一步的安全更新,可以点击链接了解更多详细信息。RMIjava.lang.ObjectJava远程方法调用(RMI)协议几乎是100%J...
Java反序列化回显解决方案与安全分析
"Java反序列化回显解决方案" Java反序列化回显问题是一个重要的安全议题,尤其是在网络安全领域。反序列化是指将已序列化的对象数据恢复为原来的对象状态,而这个过程如果处理不当,可能会被恶意利用。在Java中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值