java 漏洞挖掘_Java反序列化漏洞的挖掘、攻击与防御

最新推荐文章于 2024-07-31 20:58:07 发布
最新推荐文章于 2024-07-31 20:58:07 发布
阅读量219 收藏
点赞数
文章标签: java 漏洞挖掘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34129429/article/details/114227830
版权

一、Java反序列化漏洞的挖掘

1、黑盒流量分析:

在Java反序列化传送的包中,一般有两种传送方式,在TCP报文中,一般二进制流方式传输,在HTTP报文中,则大多以base64传输。因而在流量中有一些特征:

(1)TCP:必有aced0005,这个16进制流基本上也意味者java反序列化的开始;

(2)HTTP:必有rO0AB,其实这就是aced0005的base64编码的结果;

以上意味着存在Java反序列化,可尝试构造payload进行攻击。

2、黑盒java的RMI:

rmi是java的一种远程对象(类)调用的服务端,默认于1099端口,基予socket通信,该通信实现远程调用完全基于序列化以及反序列化。

3、白盒代码审计:

(1)观察实现了Serializable接口的类是否存在问题。

(2)观察重写了readObject方法的函数逻辑是否存在问题。

二、Java反序列化的攻击:

参见我的博客:

三、Java反序列化漏洞的防御:

1、类的白名单校验机制:

实际上原理很简单,就是对所有传入的反序列化对象,在反序列化过程开始前,对类型名称做一个检查,不符合白名单的类不进行反序列化操作。很显然,这个白名单肯定是不存在Runtime的。

2、禁止JVM执行外部命令Runtime.exec

这个措施可以通过扩展 SecurityManager 可以实现。

1 SecurityManager originalSecurityManager =System.getSecurityManager();2 if (originalSecurityManager == null) {3 //创建自己的SecurityManager

4 SecurityManager sm = newSecurityManager() {5 private voidcheck(Permission perm) {6 //禁止exec

7 if (perm instanceofjava.io.FilePermission) {8 String actions =perm.getActions();9 if (actions != null && actions.contains("execute")) {10 throw new SecurityException("execute denied!");11 }12 }13 //禁止设置新的SecurityManager,保护自己

14 if (perm instanceofjava.lang.RuntimePermission) {15 String name =perm.getName();16 if (name != null && name.contains("setSecurityManager")) {17 throw new SecurityException("System.setSecurityManager denied!");18 }19 }20 }21

22 @Override23 public voidcheckPermission(Permission perm) {24 check(perm);25 }26

27 @Override28 public voidcheckPermission(Permission perm, Object context) {29 check(perm);30 }31 };32

33 System.setSecurityManager(sm);34 }

四、参考文献:

https://paper.seebug.org/312/

King Alight
关注
Java代码审计漏洞挖掘(入门)
Ms08067安全实验室
11-10 4679
出品|MS08067实验室(www.ms08067.com)双十一最有意义的事情莫过于是学习一门高级渗透技术了!代码审计属于高级渗透测试服务的一环,顾名思义就是检查源代码中的安全缺陷,检查...
java反序列化漏洞漏洞原理,如何防御漏洞?如何利用此漏洞
DXfighting_的博客
04-15 2749
漏洞原理: 如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。 漏洞防御: a. 代码审计 反序列化操作一般在导入模版文件、网络通信、数据传输、日志格式化存储、对象数据落磁盘或DB存储等业务场景,在代码审计时可重点关注一些反序列化操作函数并判断输入是否可控,如下: 同时也要关注第三jar包是否提供了一些公共的反序列化操作接口,如果没有相应的安全校验如白名单校验方案,且输入可控的话就
Java中的代码审计与漏洞检测工具使用
最新发布
微赚淘客系统开发者博客
07-31 935
通过对代码进行系统化的审计,可以及早发现潜在的安全漏洞和质量问题,从而提高应用程序的安全性和稳定性。通过使用这些工具,开发者可以对代码进行系统化的审计,及时发现和修复潜在的问题,确保代码的质量和安全性。SonarQube是一个广泛使用的开源平台,用于静态代码分析,检测代码中的错误、代码异味以及安全漏洞。SpotBugs是FindBugs的一个分支,是一个静态代码分析工具,用于查找Java代码中的潜在错误。SonarQube将生成详细的代码质量报告,帮助开发者发现代码中的潜在问题。
JAVA SQL注入漏洞挖掘
weixin_30367873的博客
07-11 275
java中sql注入主要发生在model层,黑盒测试sql注入的方法结合两点:1,异常注入后,界面有无明显的aql异常报出。2,查看数据库日志是否有脏数据注入。 preparestatement方法是预编译方法,对拼接的sql语句没用。不能采用预编译的点:SELECT id,path FROM wp_picture WHERE id=? ORDER BY? 容易忽视的点 HTTP头部参数: ...
java 漏洞挖掘_java反序列化漏洞原理研习
weixin_30141959的博客
02-16 352
零、Java反序列化漏洞java的安全问题首屈一指的就是反序列化漏洞,可以执行命令啊,甚至直接getshell,所以趁着这个假期好好研究一下java反序列化漏洞。另外呢,组里多位大佬对反序列化漏洞都有颇深的研究,借此机会,努力学习,作为狼群中的哈士奇希望成功的继续伪装下去,不被识破,哈哈哈哈!!!参考文档:感谢所有参考文献的作者:1、https://www.cnblogs.com/bencake...
JAVA代码审计之深入XXE漏洞挖掘防御
道阻且长,行则将至。
12-16 796
原先学习和介绍过 XXE 漏洞的基础知识,但是这对于实战中挖掘此类漏洞还是远远不够的。本文将通过 WebGoat 靶场深入学习 XXE 漏洞利用,并聚焦如何在 Java 源码审计过程中发现 XXE 漏洞,以及从研发人员视角该如何规避此类漏洞
java反序列漏洞原理分析及防御修复方法
热门推荐
m0_38103658的博客
09-06 1万+
Java反序列化漏洞原理 谈起java反序列化漏洞,相信很多人都不会陌生,这个在2015年首次被爆出的漏洞,几乎横扫了包括Weblogic、WebSphere、JBoss、Jenkins等在内的各大java web server,历经几年的发展变种,各种语言工具依次爆出存在可利用的反序列化漏洞。 具全网分析以及shodan扫描显示,时至今日,在全球范围内的公网上大约有136,818台服务器依...
基于Java Web的反序列化信息安全漏洞挖掘研究.pdf
03-31
通过以上策略,可以提高Java Web应用的安全性,减少反序列化漏洞带来的风险。同时,对于开发人员来说,了解和掌握安全编码原则,持续学习最新的安全实践,是预防和应对这些漏洞的关键。此外,教育用户和提高他们的...
【技术推荐】WebLogic 反序列化漏洞深入分析
m0_73257876的博客
09-25 3196
WebLogic 漏洞存在较多的反序列化类和反序列化的途径,在使用黑名单防御手段下,攻击者只要找到新的反序列化触发点,就能造成新的危害。比如,你有一个类 A,类里面有个属性是类 B,这个时候,在反序列化的过程中,就会先反序列化类 A,之后在填充类 A 的过程中,继续反序列化类 B,类 B 在反序列化完成后,填充到类 A 中,同时整个过程都在一个流中操作,这个时候,只要还是 ObjectOutStream 的 read_value进行反序列化操作就不能饶过黑名单!
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
在网络安全领域,尤其是CTF(Capture The Flag)竞赛中,Java技术经常成为关键考点,涉及到的知识点包括但不限于反编译、XXE(XML External Entity)攻击反序列化漏洞以及文件安全。这些知识点是黑客攻防战中的...
Java包含常见web漏洞测试项目
12-06
一个包含web常见漏洞的maven 项目。JDK8 +springMVC+JDBC+mybatis+mysql。使用Eclipse导入maven项目,用sql创建数据库和表,修改数据库连接密码。即可运行。有兴趣的可以研究测试。
Java代码审计安全篇-反序列化漏洞
m0_63138919的博客
03-15 1418
​ 本文章参考qax的网络安全java代码审计和部分师傅审计思路以及webgoat靶场,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误 ​
【代码扫描修复】不安全的反序列化攻击(高危)_java反序列化漏洞修复
2401_84302369的博客
05-02 1024
将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例二进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!使用示例:Test.java/\*\*\* 序列化\*/try {/\*\*\* 反序列化
小迪安全47WEB 攻防-通用漏洞&Java 反序列化&EXP 生成&数据提取&组件安全
weixin_73760178的博客
03-25 1392
操作成功,且得知了是admin操作的,这就说明在序列化下存在admin的权限,且只有此功能存在了对序列化的读取才会知道有admin用户,故存在反序列化操作。Person person = new Person("xiaodi", 28, "男", 101);System.out.println("person 对象反序列化成功!利用:当我们对序列化后的数据进行数据更改,构造出恶意代码,再放回去,便形成了反序列化攻击。发现,data里有反序列化数据,解密一下(base64解密java_bs.py+
笔记:常见中间件漏洞
02-16 2439
笔记:常见中间件漏洞
开源漏扫工具:DependencyCheck
m0_37528968的博客
03-15 1588
开源漏扫工具:DependencyCheck
Java与Jackson反序列化漏洞深度解析
"深入解析JAVA及Jackson反序列化漏洞" 本文主要探讨了Java和Jackson库的反序列化原理,以及相关的安全问题。Java反序列化是一个关键的编程概念,它允许将对象的状态转换为字节流,以便存储或在网络中传输,然后在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值