月薪 27K,年薪 40 的甲方网络安全负责人面试题(二面)上

最新推荐文章于 2024-06-06 08:00:00 发布
最新推荐文章于 2024-06-06 08:00:00 发布
阅读量910 收藏 8
点赞数 12
文章标签: web安全 安全 系统安全 网络安全 计算机网络 密码学 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34851291/article/details/139349032
版权

二面相比于一面,比较偏向于技术方向,由于篇幅原因,预计会分 2 到 3 次发出。

话说,今天我选择这个文章模板,可是有原因的~

Fastjson 反序列化漏洞是哪个版本,能说一下它的原理和修复方式吗,修复之后还有其他绕过方式吗?

我们常说的最经典的 FastJson 反序列化漏洞是1.2.22 - 1.2.24 版本的。

FastJson 它本身有一个叫做自省的功能,也叫 AutoType。

它本意是在反序列化的时候指定类型,从而方便后续的开发操作。

使用 AutoType 指定类型后,反序列化时就会通过该类型的 setXXX 方法来写入属性值。

恰好,java 的 jdbc 包里面存在一个 JdbcRowSetImpl 类,这个类有一个 dataSourceName 属性是用来指定 Jdbc 的远程连接地址的,它可以传入 rmi 或者 ldap 之类的服务,而这个 dataSourceName 的 set 方法中,又恰好是通过 setAutoCommit 方法去自动连接的。

所以,当反序列化的类指定 AutoType 为 JdbcRowSetImpl 并且 dataSourceName 属性指定一个 rmi 或者 ldap 的远程恶意类时,最终就会自动调用 setDataSourceName 方法内的 setAutoCommit 来连接 rmi 或者 ladp 从而执行恶意代码。

当然,JdbcRowSetImpl 只是众多利用链的其中一条,还有譬如 TemplatesImpl 也是一个比较常用的利用链,其原理都差不多。

在后来的 FastJson 1.2.25 版本,将 AutoType 的默认值设置为 False,并且加入了黑名单校验的方式来过滤掉一些利用链,也预留了白名单方式,但白名单默认是空的,以此来尝试修复反序列化漏洞。

但是,由于 AutoType 本身就是 FastJson 的特色功能,很多场景实际上是很有必要使用的,所以即使默认值设置为 False,但还是有很多场景会手动修改为 True。

并且1.2.25 是以 startWith 匹配黑名单的方式来过滤利用链的包名的,如 com.sun.rowset.JdbcRowSetImpl,但是忽略了一点,在 JNI 语法中,com.sun.rowset.JdbcRowSetImpl 这种写法反而是个简略写法,JNI 中规范的对象写法应该是用字母 L 开头,分号结尾来包裹,如:Lcom.sun.rowset.JdbcRowSetImpl;

也正是因为如此,所以完整的写法反而绕过了 startWith 匹配黑名单的检测方式。同样的,JNI 中的数组写法 [xxx] 也可以绕过 startWith 匹配黑名单检测,因为无论是 Lxxx 还是 [xxx 都不匹配 startWith(“com.xxx”) 这个条件。

直到 1.2.42 版本中,FastJson 对黑名单进行了优化,使用 substring 截断了第一个 L 字符与最后一个 ; 字符,并且将黑名单改进成了 Hash 匹配,从而来增加代码审计的难度。

但是由于 substring 只是简单的截断了头尾的字符,所以又可以使用双写绕过。

1.2.43 版本中,黑名单再次强化,这次,L 和 ;终于彻底被过滤了。

但是,数组写法的绕过方式依然存在。

1.2.44 版本,[ 符号也被加入了黑名单,数组的写法也被拉黑了。

结果,又被大佬们挖掘出新的利用链,好像是基于 MySQL 的某个版本的 jar 包。

再后来,又被大佬们陆续挖掘出 cache 缓存利用等多种方式。

不过 1.2.44 版本之后我就没有深入研究,就不是很了解了。

CC 利用链从 1 - 6 的区别

CC 1-3 是通过修改和扩展 InvokerTransformer 来执行任意 Java 方法的,区别是 Transformer 的组合方式。比如 CC1 只能使用单个 InvokerTransformer,CC3 可以链式调用 Transformer 来实现更复杂的调用。

CC4 是使用 ChainedTransformer 结合多个 Transformer 来执行 Java 方法的,可以绕过一些基础的检查机制。

CC5 是利用 InstantiateFactory 来实例化对象,同样也可以绕过一些检查。

CC6 是在 CC5 的基础上加入了 LazyMap,来延迟执行恶意代码,直到特定条件才触发

CC 链的源码没有做深入研究,回答的比较片面,后期有空的话我会把这一块源码仔细研究一下,专门写一篇。

网络安全成长路线图

这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成hei客大神,这个方向越往后,需要学习和掌握的东西就会越来越多,以下是学习网络安全需要走的方向:
在这里插入图片描述

# 网络安全学习方法

​ 上面介绍了技术分类和学习路线,这里来谈一下学习方法:
​ ## 视频学习

​ 无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

在这里插入图片描述

微雨绵绵
关注
java反序列化cc3链分析
m0_64815693的博客
05-05 1547
java反序列化cc3链分析
Java反序列化-CC3链
永远都没有了
04-22 621
CC3链笔记。CC3通过字节码文件,动态类加载来进行命令执行,达到绕过服务器的黑名单的一条链
Java反序列化-CC3链(1)
2401_84969746的博客
05-17 478
前面的CC1与CC6链都是通过 Runtime.exec() 进行命令执行的。当服务器的代码将 Runtime放入黑名单的时候就不能使用了。CC3链的好处是通过动态加载类的机制实现恶意类代码执行。
CC3链分析与复现
weixin_42974824的博客
08-23 1262
CC3链分析与复现
Commons-Collections篇-CC3链
最新发布
鸣蜩十四的博客
06-06 1079
我们分析前两条链CC1和CC6时,都是利用invoke反射调用的Runtime().getRuntime().exec()来执行命令。而很多时候服务器的代码当中的黑名单会选择禁用Runtime。CC3链主要通过动态加载类加载机制来实现自动执行恶意类代码。
年薪40万的一道面试题
08-09
年薪40万的一道面试题
阿里python面试题之 – 年薪40万Python工程师
12-21
以下是一些常见的Python面试题及解析: 1. **Python列表的成员方法**: - `a=[1, 2, 3, 4, 5], a[::2]=?`:这是列表切片操作,设置步长为2,将所有偶数索引的元素设置为指定值,例如`a[::2] = [6, 7]`后,a变为`[6...
Android相关高频面试题.zip
11-23
这份"Android相关高频面试题.zip"文件包含了一系列中高级Android面试题目,旨在帮助开发者提升自己的专业技能,顺利通过年薪50W+的面试。以下将对这些面试题目的相关知识点进行详细解读。 1. **Android体系结构**:...
SQL高频面试题 100讲
11-21
总的来说,SQL面试题旨在测试候选人对数据操作的理解、问题解决能力以及实际数据库应用的经验。熟悉这些基本概念和技巧,对于在IT行业中处理数据至关重要。无论是MySQL、Oracle还是其他数据库系统,掌握SQL都是成为...
java面试题独家整理冲击年薪50w!.docx
06-24
【Java基础面试题】 1. Java源文件结构:一个`.java`源文件可以包含多个类,但只能有一个公共类(public class),并且该类的名字必须与文件名相同。其他非公共类不受此限制。 2. `goto`关键字:Java中没有`goto`...
commons-collections3(cc3)反序列化链分析
遇事不决冲冲冲
03-10 2622
commons-collections3反序列化 cc3链和cc1想法还是很相似的,然后构造恶意类和调用使用了不同的两个新类 ObjectInputStream.readObject() AnnotationInvocationHandler.readObject() Map(Proxy).entrySet() AnnotationInvocationHandler.invoke()
Java安全学习笔记--反序列化漏洞利用链CC3链
m0_64685672的博客
01-19 1302
测试环境 jdk1.7(jdk7u80) Commons Collections3.1 CC3链大体上是CC1和CC2链的结合,利用链核心原理基于CC2链的(动态字节码注入恶意类),使用TransformedMap和lazyMap配合cc1的annotationinvocation类触发newTransformer方法,所以CC3链不适用jdk1.8。 恶意类 import com.sun.org.apache.xalan.internal.xsltc.DOM; import com.sun
ClassLoader与字节码
Christ1na的博客
10-04 566
ClassLoader为类加载器,它是用来加载 Class 的。字节码可以来自于磁盘文件 *.class,也可以是 jar 包里的 *.class,也可以来自远程服务器提供的字节流,字节码的本质就是一个字节数组 []byte,它有特定的复杂的内部格式。当类初始化的时候,类的static块中的代码会执行,但是defineClass被调用时,类对象是没有被初始化的,只有这个对象显式地调用其构造函数,初始化代码才能被执行,我们用反射调用其构造函数,成功执行放在static中的代码。
月薪 27K年薪 40甲方网络安全负责人面试题二面)下
韩束一叶子
05-31 711
静态检测是在程序不运行的情况下,对源代码进行快速扫描,根据定义的规则来识别安全漏洞、代码质量、敏感信息风险等,更加适合用来发现 SQL 注入、XSS、缓存区溢出、输入验证、硬编码等基础漏洞,且误报率和漏报率相对而言都会比较高。
网络安全】论从乙方转到甲方开始搞信息安全建设
GuardCyberSec的博客
05-09 649
信息安全行业作为信息技术领域的重要组成部分,随着网络技术的飞速发展和网络安全威胁的日益增加,其重要性日益凸显。当前,信息安全行业正面临前所未有的发展机遇,同时也面临着人才短缺的挑战。据中国信息安全从业人员现状调研报告(2018-2019年度)指出,我国信息安全从业人员整体呈现全方位短缺的态势,这不仅包括信息安全人员规模总量不足,也包括大量信息安全工作以“非专职”方式完成,以及各类安全工作角色均存在人才缺口。
java反序列化之cc3链的多种情况
2301_79724395的博客
04-22 758
因为前面以及分析过cc2和TemplatesImpl类加载了,所以这里主要是与前面的知识来进行一个结合我们知道利用TemplatesImpl类的核心就是触发newtransformer方法。
月薪 27K年薪 40甲方网络安全负责人面试题(一面),貌似和月薪 10k 的面试没什么区别
韩束一叶子
05-31 842
数据泄露的话要先做的就是确认数据真实性,泄露的数据是真是假,有可能只是以我们公司名义构造的一批假数据骗人的,如果说数据是真实的,那接下来就是核实数据格式,确认泄露源头,比如泄露的信息包含身份证号,那就从我们的数据库字段,先确认身份证号都在哪些数据表里面存储,然后定位到API接口,都有哪些接口会传输身份证号,再针对这些接口展开测试,是否会存在越权、注入、绕过等等漏洞,确认泄露数据的源头,然后修复漏洞,同时,对于敏感数据理论上应该加密脱敏传输存储的,这一块也可以立个专项去进一步做。
网络安全甲方面试题【含答案】
zxcvbnmasdflzl的博客
04-14 331
网络安全甲方面试题【含答案】
Java安全 CC链3分析
Elite的博客
03-08 1481
cc链3的后半部分与cc链1相同,都是通过TransformedMap类或LazyMap类触发transform方法,从而触发核心链,与cc1不同的是,cc链3的核心链用到了类在加载初始化时会自动执行静态方法
张孝祥揭秘:月薪10K移动计费系统面试题实战教程
该PPT文档是2011年4月由张孝祥教授关于移动计费系统的面试题,针对的是年薪10K级别的职位,共32页,详细深入且专业。讲座由程序员网校提供,该机构旨在通过轻松、高效的方式帮助程序员学习技术,使他们在有限时间内...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值