ERR_UNSAFE_PORT浏览器安全问题导致无法访问的解决方案

最新推荐文章于 2024-01-20 17:40:40 发布
最新推荐文章于 2024-01-20 17:40:40 发布
阅读量1.5k 收藏
点赞数
文章标签: 安全 java tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/text2206/article/details/128543898
版权
本文探讨了Java内存马的分析与查杀,特别是针对ERR_UNSAFE_PORT安全问题的解决方案。通过分析内存马的利用方式,如冰蝎内存马,提出了一种自动检测和修复内存马的方案。文章详述了如何获取当前字节码,解决非法字节码问题,以及如何分析字节码以确定内存马,并提供了自动修复的思路。
摘要由CSDN通过智能技术生成

前言

出发点是Java Agent内存马的自动分析与查杀,实际上其他内存马都可以通过这种方式查杀

本文主要的难点主要是以下三个,我会在文中逐个解答

1.如何dumpJVM真正的当前的字节码
2.如何解决由于LAMBDA表达式导致非法字节码无法分析的问题
3.如何对字节码进行分析以确定某个类是内存马

背景

对于Java内存马的攻防一直没有停止,是Java安全领域的重点

回顾TomcatSpring内存马:FilterController等都需要注册新的组件

针对于需要注册新组件的内存马查杀起来比较容易:

例如c0ny1师傅的java-memshell-scanner项目,利用了Tomcat API删除添加的组件。优点在于一个简单的JSP文件即可查看所有的组件信息,结合人工审查(类名和ClassLoader等信息)对内存马进行查杀,也可以对有风险的Class进行dump后反编译分析

或者LandGrey师傅基于Alibaba Arthas编写的copagent项目,分析JVM中所有的Class,根据危险注解和类名等信息dump可疑的组件,结合人工反编译后进行分析

但实战中,可能并不是以上这种注册新组件的内存马

例如师傅们常用的冰蝎内存马,是Java Agent内存马。以下这段是冰蝎内存马一段代码,简单分析后可以发现冰蝎内存马是利用Java Agent注入到javax.servlet.http.HttpServletservice方法中,这是JavaEE的规范,理论上部署在Tomcat的都要符合这个规范,简单来理解这是Tomcat处理请求最先且总是经过的地方,在该类加入内存马的逻辑,可以保证稳定触发

类似的逻辑,可以使用Java Agent将内存马注入org.apache.catalina.core.ApplicationFilterChain类中,该类位于Filter链头部,也就是说经过Tomcat的请求都会交经过该类的doFilter方法处理,所以在该方法中加入内存马逻辑,也是一种稳定触发的方式(据说这是老版本冰蝎内存马的方式)

还可以对类似的类进行注入,例如org.springframework.web.servlet.DispatcherServlet类,针对于Spring框架的底层进行注入。或者一些巧妙的思路,比如注入Tomcat自带的Filter之一org.apache.tomcat.websocket.server.WsFilter类,这也是Java Agent内存马可以做到的

上文简单地介绍了各种内存马的利用方式与普通内存马的查杀,之所以最后介绍Java Agent内存马的查杀,是因为比较困难。宽字节安全的师傅提出查杀思路:基于javaAgent内存马检测查杀指南

引用文章讲到Java Agent内存马检测的难点:

调用retransformClass方法的时候参数中的字节码并不是调用redefineClass后被修改的类的字节码。对于冰蝎来讲,根本无法获取被冰蝎修改后的字节码。我们自己写Java Agent清除内存马的时候,同样也是无法获取到被redefineClass修改后的字节码,只能获取到被retransformClass修改后的字节码。通过JavaassistASM工具获取到类的字节码,也只是读取磁盘上响应类的字节码,而不是JVM中的字节码

宽字节安全的师傅找到了一种检测手段:sa-jdi.jar

借用公众号师傅的图片,这是一个GUI工具,可以查看JVM中所有已加载的类。区别在于这里获取到的是真正的当前的字节码,而不是获取到原始的,本地的字节码,所以是可以查看被Java Agent调用redefineClass后被修改的类的字节码。进一步可以dump下来认为存在风险的类然后反编译人工审核

介绍

以上是背景,接下来介绍我做了些什么,能够实现怎样的效果

不难看出,以上内存马查杀手段都是半自动结合人工审核的方式,当检测出内存马后

是否可以找到一种方式,做到一条龙式服务:

  • 检测(同时支持普通内存马和Java Agent内存马的检测)
  • 分析(如何确定该类是内存马,仅根据恶意类名和注解等信息不完善)
  • 查杀(当确定内存马存在,如何自动地删除内存马并恢复正常业务逻辑)

大致看来,实现起来似乎不难,然而实际中遇到了很多坑,接下来我会逐个介绍

【→>所有资源关注我,查看“资料”获取<←】> 1、网络安全学习路线> 2、电子书籍(白帽子)> 3、安全大厂内部视频> 4、100份src文档> 5、常见安全面试题> 6、ctf大赛经典题目解析> 7、全套工具包> 8、应急响应笔记

SA-JDI分析

我尝试通过Java Agent技术来获取当前的字节码,发现如师傅所说拿不到被修改的字节码

所以为了可以检测Agent马需要从sa-jdi.jar本身入手,想办法dump得到当前字节码(这样不止可以分析被修改了字节码的Agent马也可以分析普通类型的内存马)

注意到其中一个类:sun.jvm.hotspot.tools.jcore.ClassDump并通过查资料发现该类功能正是dump当前的Class(根据类名也可猜测出)其中的main方法提供一个dump class的命令行工具

于是我想了一些办法,用代码实现了命令行工具的功能,并可以设置一个Filter

ClassDump
最低0.47元/天 解锁文章
AIGC_Allen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ERR_UNSAFE_PORT浏览器安全问题无法访问解决方案
m0_67265311的博客
02-26 491
ERR_UNSAFE_PORT浏览器安全问题导致无法访问解决方案 目录 ERR_UNSAFE_PORT浏览器安全问题导致无法访问解决方案 一、问题现象 二、浏览器自身机制 三、解决方法 1.Google Chrome浏览器 2.Firefox浏览器 3.Edge浏览器 四、部分非安全端口列表 一、问题现象 配置好web的https协议的服务器后,使用浏览器访问服务器的时候出现ERR_UNSAFE_PORT无法访问,如下图提示。 经过抓取报文分析,并没有抓到访问服务器的报文,定位发现是浏览器的保护机制
用简单办法解决ERR_UNSAFE_PORT问题
从萌比到入门为止的技术博客
10-26 9707
浏览器打开某个10080端口的网站,无法访问,细看页面显示ERR_UNSAFE_PORT。百度查询后发现是各家浏览器集体封杀了很多高危端口。但是现存很多服务端软件的版本比较陈旧 来不及避开这些端口,所以仍然需要防问。首先尝试按照各种资料针对三大浏览器分别设置,希望能开启相关端口访问功能,过程都艰辛复杂了,甚至很难成功,没有实用性。
ERR_UNSAFE_PORT安全端口
预立数据科技
03-17 7878
chrome访问地址:http://localhost:5060,提示"ERR_UNSAFE_PORT" 但是在Edge里面可以打开 原因是chrome浏览器将一些端口号(5060,6666等)默认为非安全端口,禁止访问 2种解决办法: 1.更换端口号,如果不能更换端口号,可以尝试第二种 2.桌面右键chrome浏览器,点击属性,目标路径后,追加,空格 + “–explicitly-allowed-ports=5060” 如果多个端口用逗号分割例如: --explicitly-allowed-p
关于谷歌浏览器出现“错误代码:net::ERR_UNSAFE_PORT”的解决办法
无奈的小码农的博客
01-27 5980
项目场景: 博主所在的是一家小公司,目前公司的项目是以多个单例单独运行的情况,由于博主所在的公司比较小,所以服务器是相当有限的,有时候多个客户的多个包都需要单独搭建在我们公司的服务器上,所以不同的应用需要的端口号就不一样,所以博主就在今天有幸遇到了谷歌的net::ERR_UNSAFE_PORT这个bug 问题描述: 已知博主需要发布的服务器上已经有了8888、7777和9999这3个端口号,于是博主新增了6666这个端口号,由于习惯,博主也没有过多的思考了,直接开始使用6666来部署了,本地post
解决vue net :ERR_CONNECTION_REFUSED报错问题
10-14
然而,当网络发生变化时,如果未相应地更新`--host`参数,可能会导致浏览器无法找到正确的服务器地址,从而出现“net :ERR_CONNECTION_REFUSED”错误。 解决这个问题的方法是,将`--host 0.0.0.0`改为你的固定IP...
解决报错ERR_UNKNOWN_URL_SCHEME源码.zip
08-01
标题中的"解决报错ERR_UNKNOWN_URL_SCHEME源码.zip"表明这是一个关于修复Android应用程序中出现的"ERR_UNKNOWN_URL_SCHEME"错误的代码解决方案。这个错误通常发生在尝试在Android的WebView组件中加载一个不支持或...
解决Chrome在新版MacOS上报错 NET::ERR_CERT_WEAK_KEY 的问题
10-15
主要介绍了解决Chrome在新版MacOS上报错 NET::ERR_CERT_WEAK_KEY 的问题,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
PHP7导出Excel报ERR_EMPTY_RESPONSE解决方法
10-17
在本篇文章中小编给大家整理了关于PHP7导出Excel报ERR_EMPTY_RESPONSE的解决方法,需要的朋友们学习下。
Chrome 浏览器出现 ERR_UNSAFE_PORT 问题的解决方法
热门推荐
读万卷书,行万里路
09-11 1万+
1 问题描述 写了一个新的 Spring Boot 工程,工程端口号定义为 6667。工程启动正常,但在 Chrome 浏览器中输入访问地址出现 ERR_UNSAFE_PORT 错误。字面意思是不安全的端口号。 2 原因分析 Chrome 浏览器定义了一些内置端口,如果要访问的地址端口号与这些内置端口相同,就会出现ERR_UNSAFE_PORT 问题。 Chrome 浏览器定义了以下这些内置端口1: 1, // tcpmux 7, // echo 9, // discard
Cocos在VsCode中调试-端口安全问题 net::ERR_UNSAFE_PORT
最新发布
Shino_jie的博客
01-20 577
为了解决这个问题,你可以考虑使用标准的安全端口(比如443)或者80端口发送请求。通常情况下,浏览器会限制使用一些特定的端口,因为它们被认为是潜在的安全风险。在这种情况下,错误提示ERR_UNSAFE_PORT表明你正在使用一个被标记为不安全的端口(如6000)来发起请求。如果你想允许所有的端口,你可以将这个范围设置为一个非常宽泛的范围,比如1-65535。在处理网络请求时,始终确保采取适当的安全措施,以保护用户和数据的安全。请确保你的请求目标使用了标准的安全端口,并且没有被浏览器标记为不安全的端口。
VUE解决ERR_UNSAFE_PORT
dlx16160103024的博客
08-10 178
原因:浏览器认为该端口是不安全端口号,后端更改端口号即可。
【easyPlayer】Failed to load resource: net::ERR_UNSAFE_PORT
qq_40881695的博客
11-25 659
1. 问题复现 Failed to load resource: net::ERR_UNSAFE_PORT 2. 解决方法 后台修改端口即可
Chrome 访问不了项目?10080端口 ERR_UNSAFE_PORT问题原因 / 解决方案
bao
11-23 4893
我认为这是最佳解决方案,虽然可以修改浏览器设置放行端口来解决这个问题,但是并不能能一劳永逸,而且需要对每一位使用者的电脑进行设置,这是不现实的。最近有客户反馈,在chrome浏览器中访问不了项目,其他浏览器都是正常的。原来未防止恶意攻击,大多数浏览器都将 10080 端口禁用掉了。经测试,使用nginx去代理10080 端口是可以正常访问。奇了怪了,难道客户对chrome做了什么操作?去现场排查问题,发现了我没见过的错误代码。但是被禁用的端口还不止是 10080 端口。使用域名也是类似道理,
Chrome 错误代码:ERR_UNSAFE_PORT
skykingf的专栏
01-05 832
转自 http://blog.csdn.net/testcs_dn/article/details/39186225 最近在用Nginx发布多个站点测试,使用了87、88端口, 88端口访问正常,87端口就怎么也访问不了, 点击更多,提示错误代码:ERR_UNSAFE_PORT安全的端口?尼玛就只靠端口就能解决不安全问题了?
浏览器访问swagger失败,显示错误ERR_UNSAFE_PORT
qq_44856481的博客
03-15 2159
部署jar包到服务器后,明明postman修改IP和port后都能跑通,但对应的swagger修改URL后一直显示找不到页面
ERR_UNSAFE_PORT解决以及所有非安全端口
Sol的博客
11-13 1万+
搭建项目时需要自己配置端口信息,但是有人搭建之后会出现如下情况 但是换用edge等浏览器没有问题,这是因为chorme浏览器有自己的默认非安全端口,若访问这些端口就会出现这个错误,并且所有采用chorme内核的浏览器都会这样。解决方案是更换自己项目的端口,这里列出所有chorme的默认非安全端口,请大家在搭建项目时避免使用这些端口: 1, // tcpmux 7, // echo 9, /...
10080 err_unsafe_port
12-25
10080 err_unsafe_port 是一个错误代码,通常出现在使用浏览器访问某些网站时。这个错误意味着浏览器正试图通过一个不安全的端口来访问网站。这种情况通常会发生在尝试访问一些需要安全连接的网站时,比如银行网站或者网上购物网站。 出现 10080 err_unsafe_port 错误的原因可能是网站服务器配置了安全策略,要求访问者通过安全连接端口来访问网站。在这种情况下,浏览器会拒绝通过不安全的端口连接到该网站,以确保用户信息的安全。 如果你遇到 10080 err_unsafe_port 错误,可能需要尝试使用安全的连接方式来访问网站,比如使用 HTTPS 协议来替代 HTTP。或者检查你的网络设置是否正确,确保没有被修改或篡改。 总的来说,10080 err_unsafe_port 错误是浏览器在保护用户信息安全方面的一种表现,提示用户当前的访问方式可能存在风险,需要采取安全的连接方式来访问网站。这也提醒用户在网络使用中要保持警惕,确保信息的安全和私密性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值