Java代码审计之反序列化漏洞详解

最新推荐文章于 2024-09-05 10:39:00 发布
最新推荐文章于 2024-09-05 10:39:00 发布
阅读量37 收藏
点赞数
分类专栏: 全栈网络安全 渗透测试 代码审计 网络安全工具开发 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35029061/article/details/135750924
版权
本文深入探讨了Java反序列化漏洞,分析了Apache Commons Collections的漏洞利用链,解释了如何通过反射机制执行命令。文章还详细介绍了Java序列化和反序列化过程,以及如何通过代码审计发现和防御此类漏洞。Java反序列化漏洞在Java应用程序中普遍存在,可能导致严重风险。修复方案包括使用安全的反序列化实践,如启用安全管理器和实施白名单策略。
摘要由CSDN通过智能技术生成

主要对Apache Commons Collections反序列化漏洞利用链进行分析学习,存在缺陷的版本是Apache Commons Collections 3.2.1以下。

JDK为1.7.0_80:Java Archive Downloads - Java SE 7

Apache Commons Collections 3.1版本:Index of /dist/commons/collections/source

1、Java执行程序

在Java中,可以通过java.lang.Runtime类方便的调用操作系统命令,或者一个可执行程序:

public class RuntimeTest {
    public static void main(String[] args) throws Exception{
        Runtime runtime = Runtime.getRuntime();
了解本专栏 订阅专栏 解锁全文 超级会员免费看
wespten
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
Java代码审计之Fastjson反序列化漏洞详解
悦分享
09-16 2165
FastJson 是一个由阿里巴巴研发的java库,FastJson是开源JSON解析库,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化Java Bean。“自2017年3月15日,fastjson官方主动爆出其在1.2.24及之前版本存在远程代码执行高危安全漏洞以来,各种新型绕过姿势层出不穷。漏洞被利用本质找到一条有效的攻击链,攻击链的末端就是有代码执行能力的类,来达到我们想做的事情,一般都是用来RCE(远程命令执行)。
Java代码审计-shiro反序列化漏洞分析
qq_44780157的博客
08-08 1039
Shiro550反序列化漏洞原理分析。
Java代码审计反序列化漏洞
大河之犬的博客
03-25 903
Java 序列化及反序列化处理在基于 Java 架构的 Web 应用中具有尤为重要的作用。例如位于网络两端、彼此不共享内存信息的两个 Web 应用在进行远程通信时,无论相互间发送何种类型的数据,在网络中实际上都是以二进制序列的形式传输的。为此,发送方必须将要发送的 Java 对象序列化为字节流,接收方则需要将字节流再反序列化,还原得到 Java 对象,才能实现正常通信。当攻击者输入精心构造的字节流被反序列化为恶意对象时,就会造成一系列的安全问题。在 Java 原生的API 中,序列化的过程由 类的 方法
java代码审计之浅谈Java反序列化漏洞修复方案
liguangyao213的博客
02-19 4113
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 概述 序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java程序使用ObjectInputStream对象的readObject方法将反序列化数据转换为java对象。但当输入的反序列化的数据可被用户控制,那么攻击者即
Java代码审计之SpEL表达式漏洞详解
悦分享
01-23 150
Spring Expression Language(简称 SpEL)是一种功能强大的表达式语言、用于在运行时查询和操作对象图;语法上类似于 Unified EL,但提供了更多的特性,特别是方法调用和基本字符串模板函数。SpEL 的诞生是为了给 Spring 社区提供一种能够与 Spring 生态系统所有产品无缝对接,能提供一站式支持的表达式语言
java反序列化 端口,Java反序列化漏洞详解
weixin_35569158的博客
03-12 345
原标题:Java反序列化漏洞详解在最近几年间,不断的有java反序列化漏洞被曝光。最近的几次分别产生于spring框架以及Groovy还有文件上传的java库中,这些漏洞均得到了修复。但在最近的研究中,安全人员发现java反序列漏洞远远不止上述几处,该漏洞广泛的存在于java库中。Java反序列化漏洞:1.漏洞产生原因在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如...
Java反序列化安全漏洞怎么回事?
Firstlucky77的博客
06-21 935
序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。序列化和反序列化本身并不存在问题。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构
WEB漏洞-反序列化JAVA
硫酸超的博客
08-27 888
WEB漏洞-反序列化JAVA定义用途应用场景Java中的序列化和反序列化API实现简单测试代码writeObject()Serializable和Externalizable序列化ID的作用漏洞原理漏洞挖掘漏洞触发场景挖掘方法发现&利用-WebGoat&Ysoserial 定义 序列化 (Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对 象将其当前状态写入到临时或持久性存储区。 反序列化:从存储区中读取该数据,并将其还原为对象的过程,称为反序
Java反序列化实战.pdf
08-08
- **Ysoserial**:原生序列化PoC生成工具,可用于测试和验证潜在的序列化漏洞。 - **Marshalsec**:第三方格式序列化PoC生成工具,支持多种序列化方式。 - **Freddy**:Burp插件,用于测试和探测Java反序列化漏洞...
Java安全漫谈 - 07.反序列化篇(1)1
08-03
Java反序列化漏洞详解 Java安全领域中的反序列化漏洞是一个重要的议题,它涉及的是将对象从二进制数据恢复为程序可以理解的形式时可能存在的安全隐患。反序列化是序列化过程的逆向操作,序列化是将对象的状态转换...
JavaWeb】JDBC&Druid&Tomcat入门使用
lklalmq的博客
09-04 1043
预编译SQL语句并执行:预防SQL注入问题获取 PreparedStatement 对象// SQL语句中的参数值,使用?占位符替代?// 通过Connection对象获取,并传入对应的sql语句设置参数值上面的sql语句中参数使用?进行占位,在之前之前肯定要设置 这些?的值。PreparedStatement对象:setXxx(参数1,参数2):给?赋 值Xxx:数据类型;如 setInt (参数1,参数2)参数:参数1:?的位置编号,从1 开始参数2:?的值执行SQL语句。
JAVA基础:数据类型、命名规范
最新发布
weixin_53755148的博客
09-05 1272
变量类型就是用来指定变量中存储数据的类型。也称为数据类型。
okhttp,retrofit,rxjava 是如何配合工作的 作用分别是什么
追梦的鱼儿
09-04 499
OkHttp、Retrofit 和 RxJava 是 Android 开发中常用的三种库,它们各自有不同的作用,并且可以很好地配合工作来实现网络请求和响应的处理。
nmt---Docker-compose自动化部署
qq_69920145的博客
09-03 1018
static-rr 权重, leastconn 最少连接, source 请求IP, 轮询 roundrobin。# 这⾥是容器中的IP地址,由于配置的是轮询roundrobin,weight 权重其实没有⽣效。# 这⾥是容器中的IP地址,由于配置的是轮询roundrobin,weight 权重其实没有⽣效。# 在 mysql 创建⼀个没有权限的haproxy⽤户,密码为空。# 在 mysql 创建⼀个没有权限的haproxy⽤户,密码为空。10. docker-compose移除容器。
Java Web开发中,如何保障应用的安全性?请列举常见的安全策略和措施。请解释Spring框架中的事务管理,包括声明式事务和编程式事务。
weixin_53180424的博客
09-03 962
在实际开发中,声明式事务管理因其非侵入性和易维护性而更受欢迎。它允许开发者将注意力集中在业务逻辑上,而不是事务管理的细节上。然而,在某些特殊场景下,编程式事务管理可能提供更灵活的控制力。因此,在选择事务管理方式时,应根据实际需求和场景来决定。
计算机毕业设计选题推荐-任务管理系统-项目任务分配系统-Java/Python项目实战
IT研究室的博客
09-03 820
随着信息化技术的迅猛发展,各类企业和组织越来越依赖于高效的任务管理系统以保证其日常运营的顺利进行。根据IDC(国际数据公司)发布的报告显示,全球企业在数字化转型上的投入已达数千亿美元,其中相当一部分资金用于提升企业内部的管理效率。任务管理系统作为企业信息化的重要组成部分,能有效帮助企业分配、监控和反馈任务,从而提高工作效率。然而,尽管市场上已有多种任务管理系统,它们在功能、用户体验和适用性上存在显著差异。
数据访问:JPA
hhgh_的博客
09-02 1018
其二,Sun希望整合ORM 技术,实现统一的 API调用接口。@Table(name=“”,catalog=“”,schema=“”)可选,用来标注一个数据库对应的实体类,数据库中创建的表明默认和类名一致,通常和@Entity配合使用,只能标注在实体的class定义处,表示实体对应的数据库表的信息。@Entity(name=“EntityName”)必须,用来标注一个数据库表对应的实体,数据库中创建的表明默认和类名一致,其中,name可选,对应数据库中的一个表,使用此注解标记Pojo是一个JPA实体。
Java序列化与反序列化详解及其应用场景
Java序列化和反序列化Java编程中的一项重要功能,它涉及到将对象的状态转换为可存储或传输的字节序列,以及将这些字节序列恢复回原始对象的过程。序列化和反序列化在多个场景中发挥关键作用,例如数据持久化和网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wespten

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值