【java】Java的commons-collections反序列化漏洞

最新推荐文章于 2024-08-28 18:25:46 发布
最新推荐文章于 2024-08-28 18:25:46 发布
阅读量83 收藏
点赞数
分类专栏: 语言-java生态 文章标签: java 开发语言
本文为博主九师兄(QQ:541711153 欢迎来探讨技术)原创文章,未经允许博主不允许转载。
本文链接:https://blog.csdn.net/qq_21383435/article/details/130557717
版权
语言-java生态 专栏收录该内容
414 篇文章 485 订阅 ¥19.90 ¥99.00
订阅专栏

在这里插入图片描述

1.概述

Apache Commons Collections是Apache Commons的组件,该漏洞的问题主要出现在org.apache.commons.collections.Transformer接口上。在Apache commons.collections中有一个InvokerTransformer实现了Transformer接口,主要作用为调用Java的反射机制来调用任意函数。

影响组件版本:<=3.1

Apache-Commons-Collections这个框架,相信每一个Java程序员都不陌生,这是一个非常著名的开源框架。

但是,他其实也曾经被爆出过序列化安全漏洞,可以被远程执行命令。

背景

Apache Commons是Apache软件基金会的项目,Commons的目的是提供可重用的、解决各种实际的通用问题且开源的Java代码。

**Commons Collections包为Java标准的Collections API提供了相当好的补充。**在此基础上对其常用的数据结构操作进行了很好的封装、抽象和补充。让我们在开发应用程序的过程中,既保证了性能,同时也能大大简化代码。

Com

了解本专栏 订阅专栏 解锁全文
九师兄
关注
专栏目录
订阅专栏
Apache Commons Collections反序列化漏洞分析与复现
smellycat000的专栏
11-30 3710
聚焦源代码安全,网罗国内外最新资讯!1.1 状态完成漏洞挖掘条件分析、漏洞复现。1.2 漏洞分析存在安全缺陷的版本:Apache Commons Collections3.2.1以下,...
fastjson反序列化漏洞
scu_hacker博客
02-10 3365
目录 前言 一、漏洞原理 二、漏洞复现 2.1 fastjson<=1.2.24 2.2 1.2.24<=fastjson<=1.2.47 2.2.1在攻击机上编译类 2.2.2 开启rmi和ldap服务 2.2.3 写入poc 参考资料 前言 fastjson是阿里开发的json解析库,可以将java对象解析为json,也可以将json反序列化java对象,主要用json.parse()方法进行反序列化。 一、漏洞原理 ...
原来不只是fastjson,这个你每天都在用的类库也被爆过反序列化漏洞
勇往直前的专栏
07-13 306
在《fastjson到底做错了什么?为什么会被频繁爆出漏洞?》文章中,我从技术角度分析过为什么fastjson会被频繁爆出一些安全漏洞,然后有人在评论区发表"说到底就是fastjson烂…"等言论,一般遇到这种评论我都是不想理的。 但是事后想想,这个事情还是要单独说一下,因为这种想法很危险。 一旦这位读者有一天当上了领导,那么如果他负责的项目发生了漏洞,他还是站出来说"都怪XXX代码写的烂…",这其实是非常可怕的。 工作久了的话,就会慢慢有种感觉:代码都是人写的,是人写的代码就可能存在漏洞,这个是永远
Commons Collections反序列化漏洞复现——CC6
最新发布
weixin_58666006的博客
08-28 763
有关于反序列化漏洞的相关介绍在文章已经有所描述,本文不在对此方面进行赘述。
commons-collections4-4.1
11-01
在这个"commons-collections4-4.1"版本中,主要关注的是修复一个重要的安全问题——Java反序列化漏洞Java反序列化漏洞通常发生在处理从网络接收或从持久存储中读取的序列化对象时。当恶意构造的序列化数据被反...
commons-collections-3.2.2-
11-01
这个"commons-collections-3.2.2-"版本是该库的一个特定发行版,主要用于解决WebLogic服务器上的反序列化漏洞问题。 在Java编程中,集合框架是处理对象数组的重要组成部分。Apache Commons Collections扩展了Java...
java-sec-code 反序列化漏洞
weixin_44687621的博客
08-24 663
java反序列化 序列化的步骤为 创建一个ObjectOutputStream输出流 调用ObjectOutputStream.writeObject 反序列化的步骤为 创建一个ObjectInputStream输出流 调用ObjectInputStream.readObject 示例如下: package com; import java.io.Serializable; public class User implements Serializable { protected St
安全漏洞:Fastjson反序列化漏洞
热门推荐
孤芳不自赏
05-27 1万+
引言 昨天,我收到了集团安全部门的告警消息:Fastjson≤1.2.80版本存在反序列化漏洞,好家伙,着手开搞,这又是一个不眠夜的开始,哦,为什么说“又”呢?还记得去年12月份log4j2报过重大安全漏洞…… 风险描述 fastjson已使用黑白名单用于防御序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全 影响版本 Fastjson≤1.2.80 解决方案1:升级到最新版本1.2.83..
Fastjson 反序列化漏洞
Cover-3321的博客
01-09 2684
fastjson在解析json(反序列化)的过程中,支持使用@Type来实例化一个具体类,且自动调用这个类的set/get方法来访问属性。黑客通过查找代码中的get方法,来远程加载恶意命令,即造成反序列化漏洞
常见的Java反序列化漏洞
05-20
Java反序列化漏洞是指攻击者通过修改序列化对象中的数据,使得反序列化操作返回恶意对象,从而导致应用程序受到攻击的漏洞。常见的Java反序列化漏洞包括: 1. JDK 6u45及以下版本的RMI反序列化漏洞:攻击者可以通过构造恶意的序列化数据,导致RMI服务端在反序列化时执行任意代码。 2. Commons-Collections反序列化漏洞:攻击者可以通过构造恶意的序列化数据,导致反序列化时执行任意代码。 3. Jackson反序列化漏洞:攻击者可以通过构造恶意的JSON数据,导致反序列化时执行任意代码。 4. XStream反序列化漏洞:攻击者可以通过构造恶意的XML数据,导致反序列化时执行任意代码。 5. Fastjson反序列化漏洞:攻击者可以通过构造恶意的JSON数据,导致反序列化时执行任意代码。 为避免反序列化漏洞的发生,建议在反序列化操作时验证数据的完整性和合法性,同时使用安全的序列化和反序列化框架。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

九师兄

你的鼓励是我做大写作的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值