JAVA反序列化安全实例解析

什么是序列化

序列化 (Serialization)是指将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间，对象将其当前状态写入到临时或持久性存储区。以后，可以通过从存储区中读取或反序列化对象的状态，重新创建该对象。

简单来说：

序列化： 将数据结构或对象转换成二进制串的过程。

反序列化：将在序列化过程中所生成的二进制串转换成数据结构或者对象的过程。

 

下面是将字符串对象先进行序列化，存储到本地文件，然后再通过反序列化进行恢复的样例代码：

public static void main(String args[]) throws Exception {

    String obj ="hello world!";

 

    // 将序列化对象写入文件object.db中

    FileOutputStream fos =new FileOutputStream("object.db");

    ObjectOutputStream os= new ObjectOutputStream(fos);

    os.writeObject(obj);

    os.close();

 

    // 从文件object.db中读取数据

    FileInputStream fis =new FileInputStream("object.db");

    ObjectInputStream ois= new ObjectInputStream(fis);

 

    // 通过反序列化恢复对象obj

    String obj2 =(String)ois.readObject();

    ois.close();

}

反序列化漏洞原理

反序列化漏洞的本质就是反序列化机制打破了数据和对象的边界，导致攻击者注入的恶意序列化数据在反序列化过程中被还原成对象，控制了对象就可能在目标系统上面执行攻击代码。Java序列化应用于RMI JMX JMS 技术中。

漏洞防御

1、反序列化对象白名单控制，在resolveClass方法中校验对象名字。

public class LookAheadObjectInputStream extends ObjectInputStream {

   public LookAheadObjectInputStream(InputStreaminputStream)
         throws IOException{
      super(inputStream);
   }

   /**
    * Only deserializeinstances of our expected Bicycle class
    */
   @Override
   protected Class<?> resolveClass(ObjectStreamClass desc) throws IOException,
         ClassNotFoundException {
      if (!desc.getName().equals(Bicycle.class.getName())) {
         throw new InvalidClassException(
               "Unauthorized deserializationattempt",desc.getName());
      }
      return super.resolveClass(desc);
   }
}

2、序列化数据采用对称加密进行传输，接口调用增加身份认证。(此种方法仅仅能提升攻击成本)

3、因为序列化机制不能保证数据的完整和和保密性，如果类中存在敏感数据并且那么这个类还需要序列化，需要在特定对象的一个域上关闭serialization，在这个域前加上关键字transient即可。