理解反序列化漏洞原理

最新推荐文章于 2023-09-21 22:54:06 发布
最新推荐文章于 2023-09-21 22:54:06 发布
阅读量6.1k 收藏 19
点赞数 16
分类专栏: 笔记 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_50620293/article/details/114982372
版权

反序列化漏洞一直搞不明白,所以今天特意翻出很久未动的java,学习了一下序列化。

简单来说,序列化可以理解为就是将对象转化为字节流,字节流中包括这个对象的数据和信息,序列化和反序列化便于类的持久保存,并且很利于网络传输。在面向对象的编程中,都会涉及到序列化和反序列化,像java中,有一个接口Serializable,用来实现java序列化,php中也有Serializable方法来实现php序列化。这里我写了一个java的序列化。

下面是一个student类,为实现序列化,需要继承Serializable接口

import java.io.Serializable;

public class student implements Serializable {
    private String name;
    private String age;

    public void setAge(String age) {
        this.age = age;
    }

    public void setName(String name) {
        this.name = name;
    }

}

然后我在main函数中实现序列化。通过流,将一个名为s的student类 序列化,并将其存到Student.ser文件中

import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;

public class run {
    public static void main(String[] args) {
        student s = new student();
        s.setAge("21");
        s.setName("Hileaf");
        try {
            FileOutputStream fileOut = new FileOutputStream("Student.ser");
            ObjectOutputStream out = new ObjectOutputStream(fileOut);
            out.writeObject(s);
            out.close();
            fileOut.close();

        } catch (FileNotFoundException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

运行后,序列化过的s如下:
在这里插入图片描述
我们不用关心乱码。我们这里把字节流存入到ser文件中,并且,这条字节流也可以保存在内存、数据库中。
而反序列化,就是通过这条字节流的数据和信息,将它还原成一个类。这里我们字节流没有任何过滤,也就是说,我们在new一个新的类时,内容是用户可控的,即字节流就是用户可控的。
那么这样,就容易理解反序列化漏洞了。

如果Java应用对用户输入(即不可信数据)做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的类或对象,这个类或对象在产生过程中就有可能带来任意代码执行。
所以这个问题的根源在于,字节流进行还原时,即用到ObjectInputStream在反序列化时,没有对生成的对象的类型做限制。 这就是java反序列化漏洞的原理,php和Python也基本相同。

Hileaf
关注
  • 16
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 5172
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
反序列化漏洞攻击原理(Dubbo反序列化漏洞剖析)
跳小闹成长记
02-22 1万+
目录 一、前言 二、序列化与反序列化简介 三、反序列化怎样才会被利用? 1、说明 2、关键类说明-Transformer 3、关键类说明-TransformedMap 4、关键类说明-AnnotationInvocationHandler 5、攻击原理 6、攻击代码简介 四、Dubbo反序列化漏洞剖析 1、Dubbo的漏洞简介 2、漏洞复现步骤 3、如何解决漏洞 五、更...
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
反序列化漏洞原理详解
kali_Ma的博客
12-18 2721
Apache shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 本文针对Shiro进行了一个原理性的讲解,从源码层面来分析了Shiro的认证和授权的整个流程,并在认证与授权的这个流程讲解冲,穿插说明rememberme的作用,以及为何该字段会导致反序列化漏洞。 Apache shiro认证 在该小节中我们将会详细讲解Shiro是
反序列化漏洞
weixin_45007073的博客
02-03 262
序列化与反序列 序列化:把对象转换为字节序列的过程称为对象的序列化 反序列化:把字节序列恢复为对象的过程称为对象的反序列化 漏洞成因及本质 成因:反序列化对象中存在魔术方法,而且魔术方法中的代码可以被控制,漏洞根据不同的代码可以导致各种攻击,如代码注入、SQL注入、目录遍历等等。 本质:unserialize函数的变量可控、php文件中存在可利用的类,类中有魔术方法。 魔术方法 魔术方法 触发条件 __wakeup() 使用unserialize时触发 __sleep() 使用seria
shiro反序列化工具,加强版
12-27
反序列化漏洞是由于程序在接收到网络传输的数据后,将其从二进制流恢复为对象时没有进行充分的验证和安全控制所导致的。当恶意用户能够控制这些数据时,他们可以构造特定的序列化对象,使得在反序列化过程中执行任意...
反序列化利用工具ShiroExploit.V2.51.7z
08-31
ShiroExploit.V2.51通过模拟恶意的序列化数据,可以帮助安全研究人员检测Shiro应用是否存在反序列化漏洞,同时也可能被恶意攻击者用于实际攻击。 该工具的工作流程大致如下: 1. 分析目标Shiro版本的反序列化入口点...
shiro反序列化复现.zip
08-03
反序列化漏洞通常发生在程序接收来自不可信源的序列化对象时,如果这个对象包含了恶意构造的代码,且在反序列化过程中被执行,就可能造成安全问题,如远程代码执行(RCE)或者权限提升等。Apache Shiro在过去的版本...
java反序列化利用程序UI版Beta1.1.rar
07-20
8. **Java反序列化工具**:如"java反序列化利用程序UI版Beta1.1"这样的工具,可能是为了帮助安全研究人员测试和理解反序列化漏洞的工作原理,通过图形用户界面(GUI)提供了一种更直观的方式来实验和分析Java反序列...
weblogic反序列化.zip
07-08
Oracle通常会针对WebLogic的反序列化漏洞发布安全更新。对于这类漏洞,及时安装官方发布的补丁是最有效的防范措施。首先,需要从Oracle官方网站的安全公告或My Oracle Support下载相应的补丁,然后按照官方提供的...
java反序列漏洞原理分析及防御修复方法
m0_38103658的博客
09-06 1万+
Java反序列化漏洞原理 谈起java反序列化漏洞,相信很多人都不会陌生,这个在2015年首次被爆出的漏洞,几乎横扫了包括Weblogic、WebSphere、JBoss、Jenkins等在内的各大java web server,历经几年的发展变种,各种语言工具依次爆出存在可利用的反序列化漏洞。 具全网分析以及shodan扫描显示,时至今日,在全球范围内的公网上大约有136,818台服务器依...
fastjson反序列化漏洞原理及利用
weixin_43769253的博客
07-29 6896
fastjson反序列化漏洞原理及利用
反序列化漏洞详解
weixin_56714714的博客
07-25 753
反序列化漏洞 什么是序列化和反序列化? ​ PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果 ​ 漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行getshell等一系列不可控的后果。 ​ 反序列化漏洞并不是PHP特有,也存在于java,python等语言中,但其原理基本相同 为什么存在反序列化? ​ 1.大型网站中类创建的对象多的时候会占用大量的空间,反序列化
【网络安全---漏洞复现】shiro550反序列化漏洞原理漏洞复现和利用(基于vulhub,保姆级的详细教程)
m0_67844671的博客
09-21 4135
shiro550反序列化漏洞原理漏洞复现和利用(基于vulhub,保姆级的详细教程);Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
.NET高级代码审计(第一课)XmlSerializer反序列漏洞
zls365365的博客
06-04 693
0X00 前言在.NET 框架中的 XmlSerializer 类是一种很棒的工具,它是将高度结构化的 XML 数据映射为 .NET 对象。XmlSerializer类在程序中通过单个 API 调用来执行 XML 文档和对象之间的转换。转换的映射规则在 .NET 类中通过元数据属性来表示,如果程序开发人员使用Type类的静态方法获取外界数据,并调用Deserialize反...
php反序列化如何学习
最新发布
09-25
### 回答1: PHP 反序列化是一种常见的安全漏洞,攻击者可以利用这个漏洞来执行恶意代码或者控制 Web 应用程序。要学习 PHP 反序列化,您可以按照以下步骤进行: 1.了解序列化和反序列化的基本概念。序列化是将对象转换为字符串的过程,反序列化则是将字符串转换为对象的过程。在 PHP 中,可以使用 serialize() 和 unserialize() 函数进行序列化和反序列化。 2.学习 PHP 反序列化原理和技术。了解攻击者是如何利用反序列化漏洞来执行恶意代码的,以及如何使用一些工具和技术来发现和利用这些漏洞。 3.掌握 PHP 反序列化的实际操作。可以通过创建漏洞靶场或者参加 CTF 活动来进行实践,学习如何编写和利用反序列化漏洞的利用代码。 4.学习防御 PHP 反序列化漏洞的方法。了解一些常见的防御技术和最佳实践,以减少应用程序受到攻击的风险。 在学习 PHP 反序列化时,建议您选择一些优质的在线资源、书籍、博客或者论坛来学习,例如 OWASP 和 PHP 官方文档。此外,也可以加入一些安全社区或者参加一些培训课程,与其他安全从业者交流和学习经验。 ### 回答2: 学习PHP反序列化的过程可以分为以下几个步骤: 1.了解反序列化的概念:了解反序列化是将已经序列化的数据重新转换为原始的数据结构的过程。在PHP中,通过反序列化可以将序列化的对象还原为PHP对象。 2.学习序列化和反序列化的基本语法:了解PHP中的序列化函数`serialize()`和反序列化函数`unserialize()`的基本用法和语法。 3.检查可反序列化的数据源:了解在PHP中可以被反序列化的数据源有哪些,例如字符串、文件等。同时要注意在反序列化时,要确保数据源的可靠性,避免恶意数据的注入。 4.了解PHP对象的序列化和反序列化:学习如何将PHP对象序列化为字符串,以及如何将序列化的字符串反序列化为PHP对象。要了解序列化和反序列化的规则和约束,以确保数据的完整性和可用性。 5.研究PHP反序列化的安全问题:反序列化在应用中有一定的安全风险,因为恶意的序列化数据可以导致代码执行漏洞。学习安全的反序列化技术,了解如何避免和防范反序列化攻击。 6.通过实际练习提升技能:通过实践,结合自己的开发经验,写一些简单的反序列化代码,并且测试不同的反序列化情况,加深对反序列化理解和掌握。 7.学习相关的安全工具和技术:掌握一些常用的PHP反序列化漏洞检测工具和安全技术,以提高对反序列化漏洞的识别和修复能力。 总之,学习PHP反序列化需要理解概念、语法和安全问题,并通过实践不断提升自己的技能。通过不断学习和实践,可以掌握PHP反序列化的使用和安全开发技巧。 ### 回答3: PHP反序列化是指将序列化后的数据重新还原成原始的PHP对象或数组的过程。学习PHP反序列化主要需要掌握以下几个步骤: 1. 了解序列化和反序列化的概念:序列化是将PHP对象或数组转换成字符串的过程,而反序列化则是将字符串还原成原始对象或数组的过程。了解这两个概念对于学习PHP反序列化非常重要。 2. 了解PHP的序列化函数:PHP提供了一些序列化函数,如serialize()函数和unserialize()函数。serialize()函数用于将PHP对象或数组转换成字符串,unserialize()函数则用于将字符串还原成原始对象或数组。 3. 学习序列化格式:PHP的序列化格式是特定的,掌握序列化格式对于理解反序列化非常重要。其中,序列化的格式可以通过序列化函数生成的字符串来进行分析,了解其中的规律和特点。 4. 学习反序列化漏洞:了解反序列化漏洞是学习PHP反序列化的重要一环。反序列化漏洞是指恶意用户通过在反序列化时植入恶意代码来实现攻击的一种漏洞。了解反序列化漏洞原理及如何预防和修复是学习PHP反序列化的关键。 5. 实践练习:通过编写PHP代码来进行反序列化的实践练习是学习的重要环节。可以尝试使用serialize()函数将PHP对象或数组序列化,并使用unserialize()函数将序列化后的字符串反序列化,验证反序列化是否成功。 总之,学习PHP反序列化需要了解序列化和反序列化的概念、掌握PHP的序列化函数、学习序列化格式、了解反序列化漏洞以及进行实践练习。通过不断学习和实践,可以提高对PHP反序列化理解和应用能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值