反序列化漏洞原理和防御方式

已于 2024-06-23 17:34:27 修改
阅读量1.7w 收藏 6
点赞数 3
分类专栏: 网络安全面试题汇总 文章标签: 安全 web安全 网络安全
于 2021-07-18 17:44:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangyuxiang946/article/details/118880347
版权

 「作者简介」:冬奥会网络安全中国代表队,CSDN Top100,就职奇安信多年,以实战工作为基础著作 《网络安全自学教程》,适合基础薄弱的同学系统化的学习网络安全,用最短的时间掌握最核心的技术。

序列化就是将对象转换成字节流,可以更方便的将数据保存到本地文件

反序列化就是将字节流还原成对象

Java中提供了两个接口来支持序列化,ObjectIutputStream()和ObjectOutputStream()

序列化相对安全,问题出在反序列化的过程

原理

攻击者通过构造恶意的参数,使数据在在反序列化后生成特殊的对象类型,从而执行恶意代码

问题的根源在于,反序列化时没有对生成的对象类型做限制

防御

反序列化漏洞的防御主要以白名单为主,限制对象的类型,从而减小影响

士别三日wyx
关注
  • 3
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
序列漏洞详解
xcxhzjl的博客
11-18 1万+
一、序列漏洞原理 1、相关概念 序列(Serialization):将对象的状态信息转换为可以存储或传输的形式的过程,一般将对象转换为字节流。序列时,对象的当前状态被写入到临时或持久性存储区。 序列(Deserialization):从序列的表示形式中提取数据,即把有序字节流恢复为 2、序列出现场景 ●远程和进程间通信(RPC/IPC) ●连线协议、Web服务、消息代理 ●缓存/持久性 ●数据库、缓存服务器、文件系统 ●HTTP cookie、HTML表单参数、API身份验
网络安全-序列漏洞简介、攻击与防御
关注网络安全、云原生安全
03-13 1万+
目录 简介 PHP序列 Python序列 攻击 PHP举例 Python举例 防御 参考 简介 各种语言都有序列漏洞,Java、PHP、Python等。序列即将对象转为字节流,便于保存在文件,内存,数据库中;序列即将字节流转为对象,也就是序列的逆过程。 PHP序列 php中序列序列函数为serialize、unserialize。 我们尝试对一些类型进行序列 <?php // 字符串类型 $s = "a string"; $serializ
shiro550序列漏洞原理漏洞复现(基于vulhub,保姆级的详细教程)
最新发布
xnxqwzy的博客
04-19 1250
如何判断我的服务器是否受到了针对shiro550漏洞的攻击?检查日志:查看系统的日志文件,看是否有异常的访问记录或登录失败记录,如果发现了异常,可以进一步分析该记录是否与Shiro550漏洞有关。检查系统状态:检查系统是否存在异常状态,如系统崩溃、服务宕机等,这可能是攻击者利用Shiro550漏洞进行攻击导致的。检查用户行为:检查是否有用户在短时间内多次尝试登录或者进行异常操作,这可能是攻击者正在利用Shiro550漏洞尝试获取系统权限。
序列漏洞原理、成因、危害、攻击、防护、修复方法
白帽子凯哥聊黑客
12-23 5377
首先,我们定义一个简单的Java类,该类具有可序列的属性。// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法 public String getUsername() {} }// 标准的getter和setter方法。
网络安全课第六节 序列漏洞的检测与防御
fegus的博客
07-11 3441
上一讲介绍了 XXE 漏洞,它在业务场景中很容易用于读取敏感文件、进行代码执行,甚至也会用来渗透内网,也因此 XXE 漏洞常被当作一种严重漏洞来对待。本讲我将介绍另一种常用来实现远程代码执行的漏洞类型——序列漏洞,这几年经常出现在 Java 公共库,比如阿里的 fastjson,还有一些 Java 应用服务器,比如 JBoss。PHP 也有序列,比如著名的 Joomla 内容管理系统很多编程语言都有这种序列功能,若对序列的数据未做有效过滤和限制,就可能导致这种漏洞的产生。下面我就详细给你介绍
PHP序列漏洞详解.rar
02-07
- **更新和修补**:及时更新PHP版本和第三方库,以修复已知的序列漏洞。 - **输入验证与过滤**:对序列数据进行验证和过滤,防止恶意数据注入。 - **使用安全的序列机制**:考虑使用其他序列方式,如JSON...
weblogic--序列漏洞测试Test
10-19
2. **WebLogic序列漏洞原理**:攻击者可以创建恶意的序列对象,这些对象包含可执行的代码片段。当WebLogic服务器在处理这些对象时,如果没有进行适当的验证,就会执行恶意代码。 3. **CVE漏洞编号**:...
java序列漏洞工具
03-07
同时,了解并学习如何防御Java序列漏洞也很重要,这包括限制可接受的序列类型、使用安全的序列库(如Apache Commons Lang的SerializationUtils)以及保持应用程序和服务器软件的更新。 总的来说,Java...
JAVA及Jackson序列漏洞.docx
07-27
以CVE-2020-10673为例,这是一个针对Jackson库的序列漏洞,它影响了Jackson 2.9.2版本。复现该漏洞通常涉及构造特定的JSON输入,利用Jackson序列时的弱点,触发恶意行为。在复现过程中,需要设置合适的环境...
java序列漏洞利用
01-14
Java序列漏洞利用是Java安全领域中的一个重要话题,它涉及到程序执行流程中的一个环节——序列序列序列是将对象的状态转换为字节流的过程,便于存储或网络传输;序列则是将字节流恢复为对象的...
网络安全常见十大漏洞总结(原理、危害、防御
m0_59598029的博客
09-28 535
与个人习惯和安全意识相关,为了避免忘记密码,使用一个非常容易记住 的密码,或者是直接采用系统的默认密码等。
【网络安全---漏洞复现】shiro550序列漏洞原理漏洞复现和利用(基于vulhub,保姆级的详细教程)
m0_67844671的博客
09-21 4292
shiro550序列漏洞原理漏洞复现和利用(基于vulhub,保姆级的详细教程);Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
老生常谈的fastjson安全问题,从实战深入序列漏洞原理
2201_75353421的博客
06-20 2378
序列是java安全er避不开的技能点,也是非常难的一个点。这里我就先从我实战中遇到最多也是自己最熟悉的fastjson开始,这个漏洞老生长谈了,不过只要遇到就真是一个很好的点了。这里我先从效果开始再转战到原理,因为如果不懂代码,上来就分析代码就会让人望而却步。直接从漏洞利用开始,溯源到原理倒是我这种非安全研究er的最好学习方式
php序列漏洞漏洞原理,如何防御漏洞?如何利用此漏洞
DXfighting_的博客
04-15 2809
原理:PHP序列漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的序列字符串进行检测,导致序列过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。序列漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。 防御: 1)签名与认证。 如果序列的内容没有用户可控参数,仅仅是服务端存储和应用,则可以通过签名认证,来避免应用接受黑客的
序列漏洞攻击原理(Dubbo序列漏洞剖析)
热门推荐
跳小闹成长记
02-22 1万+
目录 一、前言 二、序列序列简介 三、序列怎样才会被利用? 1、说明 2、关键类说明-Transformer 3、关键类说明-TransformedMap 4、关键类说明-AnnotationInvocationHandler 5、攻击原理 6、攻击代码简介 四、Dubbo序列漏洞剖析 1、Dubbo的漏洞简介 2、漏洞复现步骤 3、如何解决漏洞 五、更...
【代码扫描修复】不安全的序列攻击(高危)
ACGkaka的博客
11-07 1771
【代码扫描修复】不安全的序列攻击(高危)
一文了解序列漏洞
allintao的博客
03-21 917
通过再cookie的rememberme字段中插入恶意payload触发shiro框架的rememberme的序列功能,导致任意代码执行shiro1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA==由于开发人员未修改AES密钥而直接使用shiro框架,导致了该问题Fastjson是java的一个库,可以通过toJSONString()方法。
java基础--序列漏洞原理
zyer
05-04 4472
原理 根据上篇文章可以了解到,一个类想要实现序列序列,必须要实现 java.io.Serializable 或 java.io.Externalizable 接口。 Serializable 接口是一个标记接口,标记了这个类可以被序列序列,而 Externalizable 接口在 Serializable 接口基础上,又提供了 writeExternal 和 readExternal 方法,用来序列序列一些外部元素。 其中,如果被序列的类重写了 writeObject 和 r
Java序列漏洞原理
07-14
Java序列漏洞是一种安全漏洞,它利用了Java中的对象序列序列的机制。在Java中,对象可以通过序列转换为字节流,然后再通过序列将字节流转换为对象。这个过程可以用来在网络上传输对象,或者将对象...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

士别三日wyx

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值