【JAVA反序列扫描工具】简介、下载、安装、使用

最新推荐文章于 2024-06-20 22:19:59 发布
最新推荐文章于 2024-06-20 22:19:59 发布
阅读量5k 收藏 30
点赞数 4
分类专栏: 【工具】网络安全 文章标签: java web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53079406/article/details/124336323
版权

目录

一、Java Deserialization Scanner

1.1、简介:

1.2、组成:

二、下载:

2.1、方法一:BAPP store

2.2、 方法二:GitHub

三、配置

3.1、 插件的配置

3.2、ysoserial准备

四、使用方法:

4.1、截取发送到插件

4.2、 配置扫描

4.3、分析结果

 (scan!)

一、Java Deserialization Scanner

1.1、简介:

Java Deserialization Scanner是一个Burp套件插件,用于检测和利用Java Deserialization漏洞。

1.2、组成:

与Burp Suite Active and Massive Scanner集成

手动测试仪,用于检测自定义插入点上的Java Deserialization漏洞

利用,允许积极利用Frohoff Ysoserial积极利用Java Deserialization vullnerabilies

二、下载:

2.1、方法一:BAPP store

BAPP store里面直接下载Java Deserialization Scanner

找到后,点击右边的安装

2.2、 方法二:GitHub

GitHub下载:

federicodotta/Java-Deserialization-Scanner: All-in-one plugin for Burp Suite for the detection and the exploitation of Java deserialization vulnerabilities (github.com)https://github.com/federicodotta/Java-Deserialization-Scanner

三、配置

3.1、 插件的配置

最后添加进去即可

 安装好后需要配置 ysoserial(是java反序列化漏洞payload生成器) 的路径

(可以直接填上文件名,我试了可以)

3.2、ysoserial准备

源码下载地址(GitHub)

angelwhu/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization. (github.com)icon-default.png?t=M3K6https://github.com/angelwhu/ysoserial

frohoff/ysoserial: A proof-of-concept tool for generating payloads that exploit unsafe Java object deserialization. (github.com)https://github.com/frohoff/ysoserial

ysoserial需要编译打包成.jar文件(Maven,Gradle都可打包)

可以自己从github上下载最新源码,编译打包(也可编制IDEA,直接在终端操作)

【Maven使用】IDEA使用Maven进行文件打包+命令含义+错误分析https://blog.csdn.net/qq_53079406/article/details/124322125?spm=1001.2014.3001.5501【Gradle】问题解析+下载安装+环境配置+验证安装https://blog.csdn.net/qq_53079406/article/details/124312186?spm=1001.2014.3001.5501

或者使用老版的ysoserial.jar

链接:https://pan.baidu.com/s/18q2ruwCFGI1vMvl9j7lT3w?pwd=hj12 
提取码:hj12

 

四、使用方法:

4.1、截取发送到插件

send request to DS-Manual testing

发送到插件中

点击插件查看数据包

4.2、 配置扫描

选择被序列化的部分,

并Set insertion port(设置插入部分)

还可以选择sleep等测试的方式

最下面方框是选择,选中的数据是什么编码 

4.3、分析结果

在右边会出现测试的结果

我这右边都是NOT vulnerable(不脆弱)

如果扫描到有漏洞的话,

后面接的就会是:Potentially VULNERABLE!!!

根据在Manual testing结果中检出出有漏洞使用对应的命令

或者修改添加计算器等其他工具

黑色地带(崛起)
关注
  • 4
    点赞
  • 30
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Java序列化漏洞复现(weblogic和s2)
m0_56578216的博客
09-05 440
访问网页127.0.0.1:7001/wls-wsat/CoordinatorPortType,出现下面页面,存在这个页面说明有序列化漏洞:
ysoserial下载
12-26
java序列化漏洞检测工具,可以自动生成playload,测试用的 有需要的同学拿去用
Java序列化终极测试工具.zip
04-10
Java序列化终极测试工具(里面有两款)
ysoserial项目搭建
最新发布
06-20 331
【代码】ysoserial项目搭建。
ysoserial-all.jar
08-04
ysoserial的最终版,兼容之前所有版本。放心食用。
更换国内maven 源
500Error
08-31 540
直接替换 conf\setting.xml内容 <?xml version="1.0" encoding="UTF-8"?> <settings xmlns="http://maven.apache.org/SETTINGS/1.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/SETTINGS/1.0.0 http://ma..
java序列化终极工具_检测java序列化漏洞
weixin_28781243的博客
02-25 1994
java序列化终极测试工具是一款检测java序列化漏洞工具,直接将Jboss、Websphere和weblogic的序列化漏洞的利用集成到了一起。java序列化漏洞已经被曝出一段时间了,其强大的破坏力让我们防不胜防!有没有合理的方法扫描、解决这些漏洞呢?产生原因:在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:HTTP请求中的参数,cookies以...
java序列化终极工具_java序列化漏洞利用工具
weixin_39787792的博客
02-13 5110
java序列化漏洞已经被曝出一段时间了,其强大的破坏力让我们防不胜防!有没有合理的方法扫描、解决这些漏洞呢?小编给大家带来Java序列化终极测试工具,直接将Jboss、Websphere和weblogic的序列化漏洞的利用集成到了一起。有需要下!Java序列化漏洞产生的原因在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:HTTP请求中的参数,coo...
清晰易懂java序列化漏洞简介
weixin_56606020的博客
03-16 7717
Java序列化漏洞 序列化与序列化: 序列化的数据是方便存储的,而存储的状态信息想要再次调用就需要序列序列化就是把对象的状态信息转换为字节序列(即可以存储或传输的形式)过程 序列化即逆过程,由字节流还原成对象 字节序是指多字节数据在计算机内存中存储或者网络传输时各字节的存储顺序。 作用: 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中; 2.在网络上传送对象的字节序列。 应用场景: 在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物..
JAVA序列漏洞原理及利用工具
Endeavour的博客
07-18 1380
Java序列化漏洞原理 序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;序列化即逆过程,由字节流还原成对象。 Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于序列化。 下面是将字符串对象先进行序列化,存储到本地文件,然...
Java序列化终极测试工具
08-16
1. 解压下载的“Java序列化终极测试工具”压缩包。 2. 打开工具,找到输入目标服务器IP和端口号的地方,填入你要测试的目标信息。 3. 准备一个已知存在序列化漏洞的类或者利用链,这通常需要一定的安全研究基础...
Shiro序列化漏洞检测工具
01-05
3. **使用安全序列化库**:例如,使用`java.util.Optional`或者其他防护措施,或者使用第三方库如Apache Commons Lang的`SerializationUtils`,它们提供了安全序列化选项。 4. **过滤和验证输入**:在序列...
Java序列化终极检测工具_Jboss & Weblogic & Websphere.zip
09-05
标题“Java序列化终极检测工具_Jboss & Weblogic & Websphere.zip”表明这是一个专门用于检测Java应用服务器——Jboss、Weblogic和Websphere中的序列化漏洞的工具集。这些服务器是企业级Java应用程序的常用平台...
Java序列工具.zip
05-31
标题"Java序列工具.zip"暗示了这个压缩包包含了一些工具,这些工具可能是为了帮助开发者理解、测试或者防御Java序列化漏洞而设计的。可能包括模拟攻击的payload生成器,或者用于检测和修复此类漏洞的分析工具...
shiro序列化漏洞检测工具,含链接教程
08-17
使用方法如描述所示,通过命令行输入`java -jar shiro_tool.jar`后跟目标服务器的URL,工具会尝试识别并测试该服务器是否存在Shiro序列化漏洞。`readme.txt`可能是提供关于如何使用工具以及漏洞原理的详细说明。...
java序列工具_java序列化终极测试工具(java序列化漏洞修复)V1.2.0 官方版...
weixin_35378583的博客
02-12 866
java序列化终极测试工具(java序列化漏洞修复)是一款十分专业的检测java序列化漏洞软件。直接将Jboss、Websphere和weblogic的序列化漏洞的利用集成到了一起。java序列化漏洞已经被曝出一段时间了,其强大的破坏力让我们防不胜防!有没有合理的方法扫描、解决这些漏洞呢?软件说明:Java序列化漏洞产生的原因在java编写的web应用与web服务器间java通常会发送...
java序列化漏洞挖掘
qq_45001989的博客
09-08 1136
java序列化漏洞挖掘 1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:   1)HTTP请求中的参数,cookies以及Parameters。   2)RMI协议,被广泛使用的RMI协议完全基于序列化   4)JMX 同样用于处理序列化对象   5)自定义协议 用来接收与发送原始的java对象 漏洞挖掘   (1)确定序列化输入点     首先应找出readObject方法调用,在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找:
(38)【JAVA序列化漏洞】简介、原理、工具、环境、靶场、思路
04-23 3743
【专题】JAVA序列
java序列化漏洞检测工具
09-14
对于Java序列化漏洞的检测工具,我可以给你提供一些常用的选项: 1. Ysoserial:这是一个开源项目,它提供了一组用于测试和利用Java序列化漏洞的Payloads。你可以使用这些Payloads生成恶意的序列化数据,并检测应用程序是否对此类攻击有防范措施。 2. FindSecBugs:这是一个基于静态代码分析的安全工具,它可以检测Java代码中潜在的安全问题,包括序列化漏洞。它可以帮助你找出代码中存在的漏洞并提供修复建议。 3. AppScan:这是IBM公司提供的一个商业安全扫描工具,它可以扫描应用程序中的漏洞,包括序列化漏洞。它使用各种技术来检测和验证潜在的安全问题,并生成详细的报告。 4. SonarQube:这是一个开源的代码质量管理平台,它也提供了一些插件来检测序列化漏洞。你可以使用SonarQube来扫描Java代码,并查找潜在的安全问题。 请注意,这些工具只能作为辅助工具来帮助你发现潜在的问题。最好的方式是了解序列化漏洞的原理,并编写安全的代码来防止此类漏洞的出现。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

黑色地带(崛起)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值