xstream 反序列化漏洞研究与修复

最新推荐文章于 2024-08-08 18:50:50 发布
最新推荐文章于 2024-08-08 18:50:50 发布
阅读量5.6k 收藏 10
点赞数 5
分类专栏: 安全 文章标签: xstream 反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34101364/article/details/114858734
版权

文章目录

1、简介

xstream是一个用于序列化和反序列化的java库,主要是java对象和xml之间相互转换。
XStream反序列化同fastjson这种不一样的地方是fastjson会在反序列化的时候主动去调用getters和setters,而XStream的反序列化过程中赋值都有Java的反射机制来完成,所以并没有这样主动调用的特性。

特点

  • 使用方便 - XStream的API提供了一个高层次外观,以简化常用的用例
  • 无需创建映射 - XStream的API提供了默认的映射大部分对象序列化
  • 性能 - XStream快速和低内存占用,适合于大对象图或系统
  • 干净的XML - XStream创建一个干净和紧凑XML结果,这很容易阅读
  • 不需要修改对象 - XStream可序列化的内部字段,如私有和最终字段,支持非公有制和内部类,默认构造函数不是强制性的要求
  • 完整对象图支持 - XStream允许保持在对象模型中遇到的重复引用,并支持循环引用
  • 可自定义的转换策略 - 定制策略可以允许特定类型的定制被表示为XML的注册
  • 安全框架 - XStream提供了一个公平控制有关解组的类型,以防止操纵输入安全问题
  • 错误消息 - 出现异常是由于格式不正确的XML时,XStream抛出一个统一的例外,提供了详细的诊断,以解决这个问题
  • 另一种输出格式 - XStream支持其它的输出格式,如JSON

2、举例

引入xstream

 <dependency>
      <groupId>com.thoughtworks.xstream</groupId>
      <artifactId>xstream</artifactId>
      <version>1.4.16</version>
 </dependency>

随便创建一个Student类,用于反序列化和被反序列化:

package xstream;

public class Student {
   
    public String name;
    public String sex;
    //@JsonTypeInfo(use = JsonTypeInfo.Id.CLASS)
    public Object myObject;

    public Student(){
   
        System.out.println("Student 构造函数");
    }
    public String getName(){
   
        System.out.println("getName");
        return name;
    }
    public void setName(String name){
   
        System.out.println("setName");
        this.name = name;
    }
    public String getSex(){
   
        System.out.println("getSex");
        return sex;
    }
    public void setSex(String sex){
   
        System.out.println("setSex");
        this.sex = sex;
    }

    public Object getMyObject() {
   
        System.out.println("getMyObject");
        return myObject;
    }
    public void setMyObject(Object myObject) {
   
        System.out.println("setMyObject");
        this.myObject = myObject;
    }
    @Override
    public String toString() {
   
        return String.format("Student.name=%s, Student.sex=%s", name, sex);
    }
}

具体实现栗子

package xstream;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.thoughtworks.xstream.XStream;
import com.thoughtworks.xstream.io.xml.StaxDriver;

import java.io.IOException;

public class XstreamPoc {
   
    public static void main(String[] args) throws IOException {
   
        poc01();
    }
    public static void poc01() throws IOException {
   
        Student student = new Student();
        student.setName("5wimming");
        student.setSex("boy");

        XStream xstream = new XStream(new StaxDriver());

        String xml = xstream.toXML(student);
        System.out.println(xml);

        Student student02 =
最低0.47元/天 解锁文章
Jenkins-CVE-2016-0792漏洞复现(Xstream 反序列化漏洞
whojoe的博客
06-04 4915
Jenkins-CVE-2016-0792漏洞复现(Xstream 反序列化漏洞)环境搭建漏洞复现环境清理参考文章 环境搭建 首先需要安装jenkins,这里使用的是1.642.1版本,其他版本可以自行下载,在官网和百度一开始都是没找到的,包括看了其他人的分析,但是都没有找到环境搭建,大部分是直接复现和poc分析 下载链接 http://archives.jenkins-ci.org/war-stable/1.642.1/jenkins.war 这里需要在本地配置java环境,具体方法这里在介绍,我复现
XStream反序列化
Finlinlts的博客
10-01 1803
概述 XStream是Java类库,用来将对象序列化成XML(JSON)或反序列化为对象。XStream在运行时使用Java反射机制对要进行序列化的对象树的结构进行探索,并需要对对象作出修改。XStream可以序列化内部字段,包括私private和final字段,并且支持非公开类以及内部类。在缺省情况下,XStream需要配置映射关系,对象和字段将映射为同名XML元素。但是当对象和字段名XML中的元素名同时,XStream支持指定别名。XStream支持以方法调用的方式,或是Java标注的方式指定
XStream 高危漏洞合集,XStream 组件反序列化漏洞
weixin_45314962的博客
11-27 2736
CVE-2021-29505反序列化代码执行漏洞
XStream 反序列化命令执行漏洞复现(CVE-2021-21351)
Vitaminapple的博客
04-19 1502
XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn$RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。
java xstream组件反序列化漏洞复现
Shanfenglan's blog
12-16 2621
文章目录前言1. CVE-2021-213511.1 利用2. CVE-2021-295052.1 利用 前言 XStream是一个轻量级、简单易用的开源Java类库,它主要用于将对象序列化成XML(JSON)或反序列化为对象。 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.15 及之前版本黑名单存在缺陷,攻击者可利用javax.naming.ldap.Rdn_-RdnEntry及javax.sql.rowset.BaseRowSet构造JNDI注入,进而执行任意命令。
XStream 组件漏洞修复
悟●禅●酒的专栏
04-06 2506
风险描述 XStream 是Java 类库中的常用组件,可将Java 对象序列化为XML,反之可将Java 对象和XML 文档相互转换。 XStream 官方发布安全公告,披露多个反序列化漏洞,包括: 1、拒绝服务漏洞(CVE-2021-21341/21348)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,执行恶意正则表达式的计算,从而造成拒绝服务攻击。 2、服务端请求伪造漏洞(CVE-2021-21342/21349)攻击者可利用该漏洞操纵已处理的输入流并替换或注入对象,从而伪造服务端请求。
XStream 反序列化漏洞 (CVE-2020-26258 & 26259) 的复现分析
smellycat000的专栏
12-16 3866
聚焦源代码安全,网罗国内外最新资讯!Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可...
XStream1.4.16反序列化漏洞(CVE-2020-26258、CVE-2020-26259)
05-08
近日XStream官方发布安全更新,修复XStream 反序列化漏洞(CVE-2020-26258、CVE-2020-26259)。攻击者通过构造恶意的XML文档,可绕过XStream的黑名单,触发反序列化,从而造成CVE-2020-26258 SSRF漏洞,以及 CVE-...
xstream序列化反序列化
06-07
xstream中xmljavaBean的互转
Xstream漏洞复现(CVE-2021-29505)
Ashely的博客
09-24 3573
Vulhub漏洞环境搭建 拉取漏洞镜像 复现漏洞 一、Vulhub漏洞环境搭建 详见文章Vulhub靶场搭建(Centos7) 二、拉取漏洞镜像 1.进入到vulhub/Xstream/CVE-2021-29505目录下,执行 docker-compose up -d 等待拉取镜像。(默认拉取镜像速度很慢,建议换源,可参考https://blog.csdn.net/weixin_30565327/article/details/101108079) 2. ...
使用XStream序列化/反序列化对象
11-01
使用XStream序列化/反序列化对象
XStream反序列化的坑
H_233的博客
12-10 3008
先附上XStream官方文档和API地址: 官方文档:http://x-stream.github.io/annotations-tutorial.html API文档:http://x-stream.github.io/javadoc/ 我在项目中使用了XStream来完成XML报文Java Bean的转换操作,Bean序列化没有什么坑,但在反序列化时,遇到了一个较大的坑,踩了挺久。  ...
Xstream反序列化漏洞
最新发布
blackmagic的博客
08-08 922
Xstream库中部分类本身会做反射的 invoke()、序列化的 resovleClass()、readObject()等等,同时这些类的这些操作有被攻击者恶意利用的危险。例如CVE-2020-26217中我们可以通过构造一个包含恶意XML的类。XStream是一个Java库,用于将Java对象序列化为XML格式,也可以将XML格式的数据反序列化为Java对象。它是一个流行的开源库,常用于在分布式系统中传输和存储数据。
XStream反序列化漏洞(cve-2020-26258/cve-2020-26259)
chaojixiaojingang
12-17 3887
1.漏洞描述 XStream是一个常用的Java对象和XML相互转换的工具。在运行XSteam的服务上,未授权的远程攻击者通过构造特定的序列化数据 ,可造成任意文件删除/服务端请求伪造(SSRF) 。 2.影响版本 XStream <= 1.4.14 3.漏洞POC 1)cve-2020-26259:任意文件删除 import com.thoughtworks.xstream.XStream; /* CVE-2020-26259: XStream is vulnerab...
XStream 反序列化命令执行漏洞(CVE-2021-29505)
EC_Carrot的博客
08-21 832
漏洞简介 XStream 在解析XML文本时使用黑名单机制来防御反序列化漏洞,但是其 1.4.16 及之前版本黑名单存在缺陷,攻击者可利用sun.rmi.registry.RegistryImpl_Stub构造RMI请求,进而执行任意命令。 漏洞复现 我们需要自己的服务器上使用ysoserial的JRMPListener启动一个恶意的RMI Registry: java -cp ysoserial-master-SNAPSHOT.jar ysoserial.exploit.JRMPListener 1099
Xstream反序列化分析(CVE-2021-39149)
zkaqlaoniao的博客
01-04 1169
前几个月XStream爆出一堆漏洞,这两天翻了翻,发现这波洞应该是黑名单绕过的最后一波了。因为在最新版的XStream 1.4.18中已经默认开启白名单的安全框架,按照XStream官方补漏洞的习惯,应该会再接受新的绕过黑名单的漏洞了。
XStream反序列化漏洞分析
weixin_44825990的博客
11-25 1968
XStream反序列化漏洞分析
xstream反序列化
weixin_48776804的博客
06-06 914
xstream反序列化
xstream-cve_2021_21351反序列化漏洞复现
whj_study的博客
01-19 3263
# 漏洞名称: xstream-cve_2021_21351 ## 漏洞简介 * Stream是Java类库,用来将对象序列化成XML (JSON)或反序列化为对象。XStream是自由软件,可以在BSD许可证的许可下分发。它是一种OXMapping 技术,是用来处理XML文件序列化的框架在将javaBean序列化,或将XML文件反序列化的时候,需要其它辅助类和映射文件,使得XML序列化再繁琐。在 1.4.16 版本之前的 XStream 中,存在一个漏洞,允许远程攻击者仅通过操纵处理后的输入流,解
XStream 1.4.15版本序列化漏洞修复发布
针对XStream库的反序列化漏洞修复,主要通过改进库的内部处理机制来实现,可能涉及到了严格的输入验证、限制可反序列化的类和类型、增加安全检查步骤等措施。修复此类漏洞对于保证应用的安全性至关重要,尤其是在...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值