JEP 290 初识

最新推荐文章于 2023-08-23 20:30:00 发布
最新推荐文章于 2023-08-23 20:30:00 发布
阅读量379 收藏 1
点赞数
分类专栏: 配套知识点 文章标签: java 开发语言 jep290 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32731075/article/details/124699653
版权

JEP 290 初识


JEP 290是 oracle提供已一套JAVA反序列化机制,其并不是一种必须被强制执行的策略,而是需要程序员或者运维人员进行开发与启用。关于该机制的优缺点借用老外的一篇文章

https://dzone.com/articles/a-first-look-into-javas-new-serialization-filterin

中文版可以参考

https://blog.csdn.net/caiqiiqi/article/details/104270776

该机制提供了三种防御策略,分别是全局过滤器、自定义过滤器以及内置过滤器

全局过滤器

该过滤器可以通过三种方法进行启用,

  1. 启动应用时通过指定参数-Djdk.serialFilter=<白名单类1>;<白名单类2>;!<黑名单类>
  2. 设置环境变量$JAVA_HOME/jre/lib/security/java.security
  3. 启动时指定策略文件-Djava.security.properties=<黑白名单配置文件名>
    关于java.security文件提供了主要提供了两种策略,一种是限制类调用的深度与数量,二是通过黑白名单进行限制
    在这里插入图片描述

自定义过滤器

程序员可在编码是使用ObjectInputStreamFilter指定反序列化黑白名单
ObjectInputFilter filesOnlyFilter = ObjectInputFilter.Config.createFilter("de.mogwailabs.Example;!*");

内置过滤器

其实第一张图里面就是一些内置过滤器,当然截图不全,如果要启动去掉注释即可

Iwanturoot
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JEP-290:JEP-290的测试
03-28
JEP-290 JEP-290的测试 建造 要构建此项目,请运行以下命令(Mac或Unix): ./build 这将构建Java代码,然后构建2个docker映像: jep290 / java:使用裸Java 8 VM测试过滤。 jep290 / jboss:在运行于Java 8 VM之上的JBoss WildFly 14应用服务器中测试过滤。 跑步 该测试使用以下JDK串行过滤器进行配置:java.math。**;!* 这意味着只允许序列化java.math包中的类。 要运行简单的Java测试,只需执行以下操作: docker run jep290/java 您应该看到以下输出: Jan 1, 1970 0:00:00 AM sun.misc.ObjectInputFilter$Config lambda$static$0 INFO: Creating serializa
jep
03-05
**JEPJava Enhancement Proposal)**是Java社区用来提出和讨论新特性的提议系统。它类似于Python中的PEP(Python Enhancement Proposal)或者JavaScript中的RFC(Request for Comments)。JEPJava开发者向...
JDK 12 – JEP 325开关表达式
最佳 Java 编程
06-12 199
JDK 12于2019年3月19 日上线GA,继续致力于缩短发布周期和频繁发布。 该版本的功能部分可以在这里找到。 对于开发人员来说,有趣的功能之一是“ JEP 325开关表达式 ”,它可以作为预览功能使用。 此处定义的预览功能是: 预览语言或VM功能是Java SE平台的一项新功能,该功能已完全指定,完全实现但不是永久性的。 JDK功能发布中提供了该功能,以根据实际使用情况激发开发...
jep290涉及jdk版本_而针对的最新JDK 9 JEP是……
07-07 286
jep290涉及jdk版本 自去年宣布Java 9功能以来,有241个JEP和两个目标– JDK 9背后的团队一直很忙。 这是针对JDK 9的十个最新中小型项目的TL; DR 。 正确处理进口货单 ( JEP 216 ) 根据导入的顺序,当前的Javac有时会接受或拒绝相同的源代码。 业主扬·拉霍达(Jan Lahoda)说,这是“错误和令人困惑的事情”,他成功提出了纠正建议。 注释...
RMI Bypass Jep290(Jdk8u231) 反序列化漏洞分析
爱国小白帽
07-26 1492
360-CERT [三六零CERT](javascript:void(0)???? 前天 0x00 漏洞简述 随着RMI的进一步发展,RMI上的反序列化攻击手段正逐渐增多,该类漏洞最近正受到愈加广泛的关注。 RMI (Java Remote Method Invocation) 是Java远程方法调用,是一种允许一个 JVM 上的 object 调用另一个 JVM 上 object 方法的机制,在Java RMI 的通信过程中存在反序列化漏洞,攻击者能够利用该漏洞造成代码执行,漏洞等级:高危。 在JDK8
Java RMI反序列化/JEP290相关
公众号shadow sock7
02-11 1534
RMI 远程过程调用 (Remote Procedure Call)是一种服务器-客户端模式, Java的RMI(Remote Method Invocation)是一种RPC实现。 其基本思想是程序员可以像本地那样,与远程对象进行交互。 步骤: 1、创建一个接口IRemoteService,继承自java.rmi.Remote; 2、S端创建一个类IRemoteServiceImpl,实现该接口...
jep-2.4.1.jar_jep-2.4.1_
09-29
标题中的"jep-2.4.1.jar"是一个Java归档(JAR)文件,它代表了JEPJava Embedded Python)项目的特定版本,即2.4.1。JEP是一个开源库,允许Java应用程序无缝地嵌入Python解释器,从而在Java环境中执行Python代码。...
Jep3.5 数学公式计算 jar包及中文操作手册文档
07-13
JEP 文档 点击右侧展开文档目录----------------------------------------》 一 概述 11 特性 12 解析和计算 121 解析 122 计算 二、基本用法 21 入门指南 22 错误处理 23 默认设置 24 计算方法 25 快速重复计算 26...
JEDEC JEP195
05-19
Guideline for Evaluating Gate Switching Instability of Silicon Carbide Metal-Oxide-Semiconductor Devices for Power Electronic Conversion.pdf
jep290涉及jdk版本_JDK 9 / JEP 280:字符串串联永远不会相同
最佳 Java 编程
07-05 211
jep290涉及jdk版本 JEP 280 (“ Indify String Concatenation”)是与JDK 9一起实现的,根据其“摘要”部分,“更改了javac生成的静态String concatenation字节码序列,以使用对JDK库函数的invokedynamic调用。 ” 通过查看在JDK 9之前和JDK 9之后的JDK中编译的使用字符串连接的类的javap输出,可以最容易...
JEP290下的RMI实现及Bypass 8u231-8u240
ALLEN'Blog
02-06 266
这篇接着上一篇针对8u231利用利用不成功的后续进行分析,通过另外一种手法 Bypass 8u231的修复。1、网络安全理论知识(2天)①了解行业相关背景,前景,确定发展方向。②学习网络安全相关法律法规。③网络安全运营的概念。④等保简介、等保规定、流程和规范。(非常重要)2、渗透测试基础(一周)①渗透测试的流程、分类、标准②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察。
jep290涉及jdk版本_跟踪:针对JDK 11的三个新JEP
06-24 166
JDK 11的倒计时已经开始-而且-JEP的列表越来越长。 上周,Mark Reinhold宣布了三个针对JDK 11的新JEP [在jdk-dev邮件列表中的三则消息中 ]: 324:与Curve25519和Curve448的关键协议 327:Unicode 10 328:飞行记录仪 这意味着当前有八个针对下一个Java版本的JEP。 到目前为止 309: 动...
RMI-JEP290的分析与绕过
最新发布
Karka_的博客
08-23 96
JEP290Java官方提供的一套来防御反序列化的机制,其核心在于提供了一个ObjectInputFilter接口,通过设置filter对象,然后在反序列化(ObjectInputStream#readObject)的时候触发filter的检测,同样,这套机制在RMI中也适用,所以在一些高版本的情况下,依靠单纯的反序列化的方式无法达到效果,但是我们可以借助一些方式来绕过它。
JEP 290之后攻击Java RMI服务
hldfight
03-12 1499
1 RMI基础 1.1 概述 远程方法调用是分布式编程中的一个基本思想。实现远程方法调用的技术有很多,例如WebService,两者的区别就是:WebService是独立于编程语言的,它可以跨语言实现项目间的方法调用,而Java RMI是专用于Java环境的。 远程服务器实现具体的Java方法并提供接口,客户端本地仅需根据接口类的定义,提供相应的参数即可调用远...
MyBatis 远程代码执行漏洞CVE-2020-26945
开心就好
10-26 4250
We have received another security vulnerability report caused by object stream deserialization. When all of the following conditions are met, the attacker can trigger RCE (remote code execution). the user enabled the built-in 2nd level cache [1] the user d
MyBatis 高级映射与二级缓存注意点
IT_laohu的博客
03-20 1001
Myabtis 高级映射 与 二级缓存
反序列化漏洞的末日?JEP290机制研究
热门推荐
Exploit的小站~
11-16 1万+
0x00 前言 先说一下JEP290这个增强建议本身其实在2016年就提出来了,本身是针对JAVA 9的一个新特性,但是随后官方突然决定向下引进该增强机制,分别对JDK 6,7,8进行了支持: https://blogs.oracle.com/java-platform-group/filter-incoming-serialization-data-a-little-of-jdk-9-g
阿里云 MyBatis 远程代码执行漏洞(CVE-2020-26945)修复
hvang1988的专栏
10-22 7892
阿里云 MyBatis 远程代码执行漏洞(CVE-2020-26945)修复 1、漏洞详情 【安全通报】MyBatis 远程代码执行漏洞(CVE-2020-26945)|NOSEC安全讯息平台 - 白帽汇安全研究院 波及 mybatis.jar版本 小于<3.5.6 2、漏洞利用前提条件 在满足以下三个条件的时候,攻击者可以触发远程代码执行: ​ 1、用户启用了内置的二级缓存 ​ 2、用户未设置JEP-290过滤器 ​ 3、攻击者找到了一种修改私有Map字段条目的方法, 即修改or
JEP将简化Java类型变异
啊啊啊啊2
02-04 224
新的JEP Candidate旨在简化处理Java中复杂的类型变异的概念。这个新的JEP Candidate可能会在Java 10中推出,提供了在定义的泛型类型中指定目标对象默认变异的方法,而不是在泛型类型实例化时通过通配符指定。这个新方案并不会代替通配符,而是减少对通配符的需求。\u0026#xD;\n\u0026#xD;\n类型变异这个概念对于很多开发人员来说仍然比较模糊,在Java中通过不太...
漫谈 JEP 2901
08-03
"本文主要讨论JEP 290,即Java中的过滤传入序列化数据的机制,旨在提高安全性并控制反序列化过程。" JEPJava Enhancement Proposal)290Java平台的一个重要改进,其核心目标是增强Java反序列化过程的安全性。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值