java反序列漏洞原理分析及防御修复方法

Java反序列化漏洞原理

谈起java反序列化漏洞，相信很多人都不会陌生，这个在2015年首次被爆出的漏洞，几乎横扫了包括Weblogic、WebSphere、JBoss、Jenkins等在内的各大java web server，历经几年的发展变种，各种语言工具依次爆出存在可利用的反序列化漏洞。

具全网分析以及shodan扫描显示，时至今日，在全球范围内的公网上大约有136,818台服务器依然存在反序列化漏洞。
为什么这个漏洞影响如此之大，却依然让人防不胜防。通过本篇文章，美创第59号安全实验室将为大家剖析java反序列化漏洞原理，寻找防御方法以及修复手段。

1. 什么是java序列化与反序列化？

Java 序列化是指把 Java 对象转换为字节序列的过程，以便于保存在内存、文件、数据库中，ObjectOutputStream类的 writeObject() 方法可以实现序列化。

Java 反序列化是指把字节序列恢复为 Java 对象的过程，ObjectInputStream 类的 readObject() 方法用于反序列化。

序列化与反序列化是让 Java 对象脱离 Java 运行环境的一种手段，可以轻松的存储和传输数据，实现多平台之间的通信、对象持久化存储。主要应用在以下场景：

1. 当服务器启动后，一般情况下不会关闭，如果逼不得已要重启，而用户还在进行相应的操作，为了保证用户信息不会丢失，实现暂时性保存，需要使用序列化将session信息保存在硬盘中，待服务器重启后重新加载。
2. 在很多应用中，需要对某些对象进行序列化，让他们离开内存空间，入住物理硬盘，以便减轻内存压力或便于长期保存。

2. Java反序列化漏洞成因

我们需要明确的一点是：Java的序列化和反序列化本身并不存在问题，但如果java应用对用户输入，即不可信数据做了反序列化处理，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，而非预期的对象在产生过程中就有可能带来任意代码执行的后果。
所以这个问题的根源在于类ObjectInputStream在反序列化时，没有对生成的对象的类型做限制；正因为此，java提供的标准库及大量第三方公共类库成为反序列化漏洞利用的关键。

3. Java反序列化漏洞的发展历史

• 2011年开始，攻击者就开始利用反序列化问题发起攻击
• 2015年11月6日FoxGlove Security安全团队的@breenmachine发布了一篇长博客，阐述了利用java反序列化和Apache Commons Collections这一基础类库实现远程命令执行的真实案例，各大java web server纷纷中招，这个漏洞横扫WebLogic、WebSphere、JBoss、Jenkins、OpenNMS的最新版。
• 2016年java中Spring与RMI集成反序列化漏洞，使成百上千台主机被远程访问
• 2017年末，WebLogic XML反序列化引起的挖矿风波，使得反序列化漏洞再一次引起热议。
• 从2018年至今，安全研究人员陆续爆出XML、Json、Yaml、PHP、Python、.NET中也存在反序列化漏洞，反序列化漏洞一直在路上。。。