JAVA反序列化

最新推荐文章于 2024-03-12 15:24:04 发布
最新推荐文章于 2024-03-12 15:24:04 发布
阅读量48 收藏
点赞数 1
文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67890599/article/details/134009034
版权

最近在读有关JAVA反序列化漏洞的文章,对相关知识点进行了一些总结。

序列化:把对象转换为字节序列的过程,即把对象转换为可以存储或传输的数据的过程。例如将内存中的对象转换为二进制数据流或文件,在网络传输过程中,可以是字节或是XML等格式。

反序列化:把字节序列恢复为对象的过程,即把可以存储或传输的数据转换为对象的过程。例如将二进制数据流或文件加载到内存中还原为对象。

在Java 中如果需要将一个对象进行序列化,那么该对象所属类必须实现Serializable 接口或者Externalizable 接口。对于实现Serializable 接口的类,在序列化时将尝试自动调用writeObject()方法,在反序列化时将尝试自动调用readObject()方法。对于实现Externalizable 接口的对象中所包含的属性在序列化过程中将可以有选择性将指定的属性进行序列化,其序列化与反序列化时将自动调用writeExternal()方法和readExternal()方法。

反序列化漏洞的触发需要一个魔术方法(在发生特定事件或场景时被自动调用的函数,如上面的readobject())以及一个安全敏感的站点(发生危险操作的地方,可能就是一个方法)。这个安全站点要可以通过魔方方法触发,即魔方方法通过一系列的函数调用,调用到安全敏感的站点。若程序中存在这样一条从魔方方法到安全敏感站点的函数调用链,那么攻击者就可以精心设计一个对象来触发反序列化漏洞,导致安全问题。

总的来说,反序列化漏洞的根本原因是控制和数据流可以被攻击者操纵来使恶意反序列化对象能够达到和影响的安全性敏感。而且作为一种特殊的web 安全漏洞,反序列化漏洞具有入口点较为常见、攻击面较大攻击路径较多、涉及代码量较大的特点。

下面有一个例子:

readObject 方法中调用hash(key),然后hash方法中调用key.hashCode(),攻击者可以令key 为任意类的实例。若令key 值为类java.net.URL 的实例,则此时将调用URL.hashCode()

hashCode 方法将调用handler.hashCode(this),其中handler 的默认类型为URLStreamHandler,即调用URLStreamHandler.hashCode 方法,在URLStreamHandler.hashCode 中将进一步调用getHostAddress(u),此时变量u 即为传递进来的可用key 值,最终将触发网络请求。

污点分析技术

定义:污点分析可以抽象成一个三元组<sources,sinks,processor>的形式,其中

  • source 即污点源,代表直接引入不受信任的数据或者机密数据到系统中
  • sink 即污点汇聚点,代表直接产生安全敏感操作(违反数据完整性)或者泄露隐私数据到外界(违反数据保密性)
  • processor 即数据流处理,代表整个数据传输和处理的过程

污染源一般为外来数据入口,即可控输入在程序中最先出现的地方,污染汇聚点一般为危险函数操作,如系统命令执行函数,数据流处理即污染在程序信息流中的传播规则。污点分析技术的工作原理就是分析程序信息流,并根据预先定义的污染传播规则,判断污染是否能从污染源传递到污染汇聚点。

污点分析技术可以分为静态污点分析和动态污点分析两种方法。静态污点分析是通过分析源码或字节码指令之间的逻辑路径,来识别潜在的污点传播路径。而动态污点分析则是通过程序插装技术,在运行时标记数据并跟踪其传播。

还可以按照分析过程中关注的程序依赖关系的不同, 可以将污点传播分析分为显示流分析和隐式流分析。

显示流分析

void foo(){
	int a = source(),           //污点源
	int b = source(); 			//污点源
	int x,y;
	x = a * 2;
	y = b + 4;
	sink(x);					//污点汇聚点
	sink(y);					//污点汇聚点
}

在上面这段代码中,a和b被污点源函数source标记为污点源,在第5、6行的对x、y赋值的过程中,其数据内容直接依赖于变量a、b,由于x,y在第7、8行到达污染汇聚点,我们就可以得出结论,例如上面代码存在的信息泄露问题。

隐式流分析

void foo(){
	string X = source();					//污点源
	string Y = new string();
	for(int i = 0;i < X.length();i++){
		int x = (int) X.charAt(i);
		int y = 0;
		for(int j = 0;j < x;j++){
			y = y + 1;
		}
		Y = Y + (char) y;
	}
	sink(Y);								//污点汇聚点
}

在上图所示的代码中,变量 X 是被污点标记的字符串类型变量,变量 Y 和变量 X 之间并没有直接或间接的数据依赖关系,但 X 上的污点标记可以经过控制依赖隐式地传播到 Y。

由第 4 行的循环条件控制的外层循环顺序地取出 X 中的每一个字符,转化成整型后赋给变量 x,再由第 7 行的循环条件控制的内层循环以累加的方式将 x 的值赋给 y,内层循环执行完毕后,x == y。最后由外层循环将 y 逐一传给 Y。

最终,第 12 行的 Y 值和 X 值相同,程序存在信息泄漏问题。

污点传播分析涉及追踪污点数据在程序执行过程中的路径,由于Java的特性,污点数据可能会经历多种操作,如集合封装、类型转换、数组元素赋值、方法调用等。在静态分析中,这些操作可能导致数据的中断或净化,因此需要考虑数据在程序执行和交互中的状态变化。最终,污点分析的目标是确定污点数据是否能够到达污点汇聚点,如命令执行或文件读写等危险操作。

会投三分的斯玛特
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
初识Java反序列化
m0_71563599的博客
06-04 1575
研究某产品反序列化EXP时,搜集到的POC只有一段16进制字节序列难以利用,遂有下文对Java序列化和反序列化的学习。大致内容如下:序列化和反序列化示例序列化数据组成解构反序列化漏洞形成原理序列化: 将程序运行时所需要的Java对象转化为字节序列并存储在文件系统中,一般为.ser后缀的文件,ObjectOutputStream.writeObject()方法可以将对象序列化。反序列化: 将存储在文件系统的字节序列转化成对象供程序使用,ObjectInputStream.readObject()方法可以将字节
java反序列化的原理_Java 序列化和反序列化的底层原理
weixin_36051235的博客
02-27 1392
序列化和反序列化序列化是通过某种算法将存储于内存中的对象转换成可以用于持久化存储或者通信的形式的过程反序列化是将这种被持久化存储或者通信的数据通过对应解析算法还原成对象的过程,它是序列化的逆向操作为什么需要序列化前端请求后端接口数据的时候,后端需要返回 JSON 数据,这就是后端将 Java 堆中的对象序列化为了 JSON 数据传给前端,前端可以根据自身需求直接使用或者将其反序列化为 JS 对象R...
Java反序列化
buffedon的博客
09-05 4165
Java反序列化Java反序列化概念漏洞原理漏洞危害漏洞出现点漏洞挖掘漏洞防御序列化与反序列化代码参考文章 Java反序列化概念 在说反序列化之前,先说说序列化 序列化就是将对象转化为字节流,利于存储和被引用 反序列化与序列化恰恰相反,是将字节流转化为对象 序列化的格式:json序列化,xml序列化,二进制序列化,SOAP序列化 序列化调用的函数 序列化:java.io.ObjectOutputStream 类中的 writeObject() 实现 Serializable 和 Externaliz
java反序列化基础
qq_63928796的博客
02-22 1697
Java序列化就是指把Java对象转换为字节序列的过程​ Java反序列化就是指把字节序列恢复为Java对象的过程。序列化:对象 -> 字符串反序列化:字符串 -> 对象。
java反序列化
m0_51632271的博客
09-05 1386
java反序列化--我的学习思路
java反序列化耗时_java序列化方式性能比较
weixin_39631755的博客
03-08 1206
有一个很不错的工具http://github.com/eishay/jvm-serializers/,可以用它来评测各种流行的java序列化反序列化工具,使用上也很简单。想试试该工具的,下载源码后参考起README操作即可。而我更关心的是,是各种工具的性能对比,以作选择的一个衡量标准,也就是http://github.com/eishay/jvm-serializers/wiki的 图示和数据...
Java反序列化看这一篇就够了
saber的博客
03-12 1641
本文介绍了Java中的序列化和反序列化机制。Java序列化是指将Java对象转换为字节序列的过程,以便存储在文件中或在网络上传输;而Java反序列化是指将字节序列恢复为Java对象的过程。序列化和反序列化的过程中,需要使用 ObjectOutputStream 和 ObjectInputStream 类来实现。文章还提到了序列化的原因,如远程过程调用和传输数据时需要将数据序列化为二进制形式。
Java反序列化—Fastjson基础
..
01-06 7347
最近摆烂了很久,来学习一下fastjson Fastjson 是 Alibaba 开发的 Java 语言编写的高性能 JSON 库,用于将数据在 JSON 和 Java Object 之间互相转换。提供两个主要接口来分别实现序列化和反序列化操作。JSON.toJSONString 将 Java 对象转换为 json 对象,序列化的过程。JSON.parseObject/JSON.parse 将 json 对象重新变回 Java 对象;反序列化的过程所以可以简单的把 json 理解成是一个字符串。
java安全(五)java反序列化
weixin_45694388的博客
04-09 6327
序列化 在调用RMI时,发现接收发送数据都是反序列化数据. 例如JSON和XML等语言,在网络上传递信息,都会用到一些格式化数据,大多数处理方法中,JSON和XML支持的数据类型就是基本数据类型,整型、浮点型、字符串、布尔等,如果开发者希望在传输数据的时候直接传输一个对象,那么就不得不想办法扩展基础的JSON(XML)语法。比如,Jackson和Fastjson这类序列化库,在JSON(XML)的基础上进行改造,通过特定的语法来传递对象. RMI使用java等语言内置的序列化方法,将一个对象转化成一串二进制
Java反序列化触发方式
weixin_42974824的博客
08-25 1179
Java反序列化触发方式
java反序列化工具
11-21
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
java反序列化利用程序UI版Beta1.1.rar
07-20
Java反序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于将对象的状态转换为字节流,以便可以存储或在网络上传输。而反序列化则将这个字节...
Java反序列化工具.zip
05-31
Java反序列化是一种将之前序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方法。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络传输中将对象从一个系统传输到另一个...
java反序列化利用工具
07-06
Java反序列化是一种将已序列化的对象状态转换回对象的过程,通常用于持久化数据或在网络间传输对象。在Java中,这一过程涉及到`java.io.ObjectInputStream`类,它能够读取由`java.io.ObjectOutputStream`写入的字节...
Java反序列化攻击
01-21
Java 反序列化攻击漏洞由FoxGlove 的近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。  由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,...
使用 React 和 Redux 进行井字游戏并附带源代码.zip
最新发布
07-24
项目:使用 React 和 Redux 进行井字游戏并附带源代码 使用 react 和 redux 的井字游戏是一个简单的 react 项目。整个项目都是使用 react components 和redux制作的。游戏很简单,玩法也很多。要运行此项目,您必须先安装 NodeJS。 关于项目 井字游戏反应而 redux 是使用ReactJS开发的。说到这个游戏,它具有高级功能和游戏玩法。要运行此项目,首先,您必须安装费用到您的系统。然后运行npm安装然后开始运行npm开始。游戏启动后,您可以选择不同的游戏选项。您还可以选择所需的网格框数量。此外,您还可以选择对手的类型。 要运行此项目,您需要 在计算机上安装NodeJS 并使用现代浏览器,例如 Google Chrome、  Mozilla Firefox。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
使用 JavaScript 编写的专注力游戏(附源代码).zip
07-24
项目:JavaScript 中的专注力游戏(附源代码) 专注力游戏是一个使用 JavaScript、CSS 和 HTML 开发的简单项目。这款游戏很有趣。玩家必须点击移动的框并获得分数。要点击正确的位置,玩家需要在这个游戏中集中注意力。这款游戏可以帮助玩家练习以进一步增强他们的专注力。 游戏制作 这个游戏项目仅使用 HTML、CSS 和 JavaScript。说到这个游戏的特点,用户必须单击移动框并得分。游戏有三种模式:简单、中等和困难。游戏的 PC 控制非常简单。您只需使用光标单击移动框的碎片即可。 该游戏包含大量的 javascript 以确保游戏正常运行。 如何运行该项目? 要运行此游戏,您不需要任何类型的本地服务器,但需要浏览器。我们建议您使用现代浏览器,如 Google Chrome 和 Mozilla Firefox。要玩游戏,首先,单击 index.html 文件在浏览器中打开游戏。 演示: 该项目为国外大神项目,可以作为毕业设计的项目,也可以作为大作业项目,不用担心代码重复,设计重复等,如果需要对项目进行修改,需要具备一定基础知识。 注意:如果装有360等杀毒软件,可能会出现误报的情况,源码本身并无病毒,使用源码时可以关闭360,或者添加信任。
人脸识别方案资料61EDA-C1590.zip
07-24
人脸识别方案资料61EDA_C1590.zip
316、基于DK124设计的离线式开关电源设计12V 2A(原理图、PCB图、BOM表、设计说明)
07-24
316、基于DK124设计的离线式开关电源设计12V 2A(原理图、PCB图、BOM表、设计说明) 该设计为DK124控制的开关电源,实现12V 2A输出; 功能: 1、使用DK124核心控制; 2、反激式开关电源拓扑设计; 3、实现12V 2A输出; 4、市电输入; 5、整流、滤波、变压器等电路; 6、原理图、PCB图、BOM表、设计说明;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值