反序列化渗透与攻防(二)之Java反序列化漏洞

已于 2023-04-12 22:58:40 修改
阅读量1.1k 收藏 1
点赞数 1
分类专栏: Web漏洞 文章标签: java 安全 网络安全 web安全
于 2023-04-12 22:18:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64973687/article/details/130113717
版权
Web漏洞 专栏收录该内容
31 篇文章 15 订阅 ¥9.90 ¥99.00
订阅专栏

Java反序列化漏洞

反序列化漏洞

JAVA反序列化漏洞到底是如何产生的?

1、由于很多站点或者RMI仓库等接口处存在java的反序列化功能,于是攻击者可以通过构造特定的恶意对象序列化后的流,让目标反序列化,从而达到自己的恶意预期行为,包括命令执行,甚至 getshell 等等。

2、Apache Commons Collections是开源小组Apache研发的一个 Collections 收集器框架。这个框架中有一个InvokerTransformer.java接口,实现该接口的类可以通过调用java的反射机制来调用任意函数,于是我们可以通过调用Runtime.getRuntime.exec() 函数来执行系统命令。Apache commons collections包的广泛使用,也导致了java反序列化漏洞的大面积流行。

所以最终结果就是如果Java应用对用户的输入做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化过程执行我们自定义的命令,从而实现远程任意代码执行。

在说反序列化漏洞原理之前我们先来说说JAVA对象的序列化和反序列化

序列化和反序列化

序列化 (Serialization):将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将

了解本专栏 订阅专栏 解锁全文
怰月
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
java安全 反序列化()
sechelper的博客
12-07 597
java反射,CC6链源码分析,LazyMap利用连,ysoserial工具
Java 反序列化攻击
m0_62571837的博客
01-21 435
漏洞由FoxGlove 的最近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。 由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,也就意味着使用了这些包的服务器(目前发现有WebSphere, WebLogic,JBoss),第三方框架(Spring,Groovy),第三方应用(Jenkins),以及依赖于这些服务器,框架或者直接/间接引用这些包的应用都会受到威胁,这样的应用的数量会以百万计。
【代码扫描修复】不安全反序列化攻击(高危)
ACGkaka的博客
11-07 1771
【代码扫描修复】不安全反序列化攻击(高危)
java反序列化java代码解释什么是反序列化漏洞
wj33333的博客
11-22 417
反序列化漏洞是一种常见的安全漏洞,它出现在对象反序列化的过程中。序列化是将对象转化为可以持久保存或在网络间传输的字节流的过程,而反序列化则是将这些字节流重新转换为对象的过程。如果攻击者能够控制序列化过程,就可以在反序列化过程中执行恶意代码。接口,这意味着它可以被序列化并在网络上传输。但是,当攻击者将自定义的序列化流发送到反序列化函数时,就会引发安全问题。例如,攻击者可以发送一个带有恶意数据的流,然后在其被反序列化时执行恶意代码。
java反序列漏洞原理分析及防御修复方法
m0_38103658的博客
09-06 1万+
Java反序列化漏洞原理 谈起java反序列化漏洞,相信很多人都不会陌生,这个在2015年首次被爆出的漏洞,几乎横扫了包括Weblogic、WebSphere、JBoss、Jenkins等在内的各大java web server,历经几年的发展变种,各种语言工具依次爆出存在可利用的反序列化漏洞。 具全网分析以及shodan扫描显示,时至今日,在全球范围内的公网上大约有136,818台服务器依...
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
java反序列化漏洞-验证.rar
06-25
标签“java反序列化漏洞 java反序列化 java反序列化漏洞-验证方法”进一步强调了本主题的焦点。这些标签表明该资源涵盖了从基础概念到具体验证方法的全面讨论,包括: 1. **Java反序列化漏洞**:当不信任的数据源...
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
Java反序列化漏洞静态分析与动态验证研究与实现
最新发布
04-10
Java反序列化漏洞中存在利用链, 攻击者通常将其与任意命令漏洞结合控制服务器。人工检测反序列化链需要花费大量的精力, 需要依赖代码审计人员的专业知识。 文章基于污点分析提出 种静态检测和动态验证的方法, ...
java笔记渗透
05-20
适合基础薄弱的学生进行了解,希望有所帮助
6-java安全——java反序列化漏洞利用链
网络安全
07-01 4027
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用链。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
JAVA反序列化漏洞攻守之道
坏蛋呆呆的博客
05-19 1324
1、 什么是反序列化漏洞 序列化就是把对象转成字节流,便于存储在文件、内存、数据中。如ObjectOutputStream中的writeObject()方法。 反序列化是序列化的逆向过程,将字节流还原成对象。如ObjectInputStream类中readObject()方法。 序列化和反序列是让Java对象脱离Java运行环境传输的一种手段,多用于数据传输和存储。在微服务和远程调用大流行的情形下,序列化和反序列化随处可见,漏洞防守也是重中之重。 ...
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 5373
首先,我们定义一个简单的Java类,该类具有可序列化的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
Java序列化攻击和最佳实践
KDLin‘s Blog
04-29 484
85. 其他序列化优于Java序列化 Java序列化机制很危险,在新编写的系统中,没有理由再使用Java序列化,应该使用其他序列化机制,例如跨平台的JSON序列化;尤其不要反序列化任何不信任的数据,因为容易遭受序列化攻击。 原因在于,反序列化不被信任的数据,容易受到序列化攻击,例如远程代码执行(RCE),拒绝服务(DoS)等等。研究人员可以基于Java序列化机制开发出很多巧妙的攻击片段。例如: public class BombSerializable { public static void
Java反序列化漏洞的挖掘、攻击与防御
weixin_30480075的博客
02-19 737
一、Java反序列化漏洞的挖掘 1、黑盒流量分析: 在Java反序列化传送的包中,一般有两种传送方式,在TCP报文中,一般进制流方式传输,在HTTP报文中,则大多以base64传输。因而在流量中有一些特征: (1)TCP:必有aced0005,这个16进制流基本上也意味者java反序列化的开始; (2)HTTP:必有rO0AB,其实这就是aced0005的base64编码的结果; 以上...
JAVA 框架
bylfsj的博客
11-01 382
4.3.2. 框架¶ 4.3.2.1. Servlet¶ 4.3.2.1.1. 简介¶ Servlet(Server Applet)是Java Servlet的简称,称为小服务程序或服务连接器,是用Java编写的服务器端程序,主要功能在于交互式地浏览和修改数据,生成动态Web内容。 狭义的Servlet是指Java语言实现的一个接口,广义的Servlet是指任何实现了这个Servlet接口的...
反序列化漏洞原理和防御方式
热门推荐
wangyuxiang946的博客
07-18 1万+
攻击者通过构造恶意的参数,使数据在在反序列化后生成特殊的对象类型,从而执行恶意代码 问题的根源在于,反序列化时没有对生成的对象类型做限制
渗透学习(2)漏洞扫描
跟派大星学编程
01-07 2129
一、使用nmap nmap --script=脚本名字 目标主机

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

怰月

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值