为何Java序列化漏洞并未被修复?

最新推荐文章于 2024-08-03 17:05:14 发布
最新推荐文章于 2024-08-03 17:05:14 发布
阅读量88 收藏
点赞数
文章标签: java 数据库
原文链接:https://yq.aliyun.com/articles/194276
版权

据我所知,Java序列化漏洞一年多前已被披露,它由一位安全研究人员在PayPal的服务器中发现。那么,这是个什么样的漏洞,为什么它还未被修复?攻击者是如何利用它的?

为何Java序列化漏洞并未被修复?

Nick Lewis:Java序列化漏洞发生在:当输入内容从已经通过互联网提交的格式转换成另一种格式时,随后这种格式会保存在数据库中。当该漏洞存在时,在这个转换过程中处理的数据可被用于在某些易受攻击软件中进行远程代码执行。该漏洞曾被认为只是理论上的,因为其非常难以被利用,但后来FoxGlove Security在博客文章中发布了针对其可广泛使用的软件漏洞利用代码。通过这个漏洞利用代码,Java序列化漏洞成了企业需要应对的问题。

在安全研究人员Mark Litchfield发现这个漏洞后,PayPal工程人员检查了这个特定的Java序列化漏洞,并介绍了他们如何在其系统中修复了这个漏洞。安全研究人员Michael Stepankin也详细探讨了他如何通过这个漏洞在PayPal服务器远程执行代码。

在PayPal工程人员寻找其产品中漏洞代码的过程中我们可了解到,为什么企业(包括PayPal)没有在漏洞利用代码发布前修复这个漏洞:因为如果企业没有中央软件开发资源库,他们非常难以发现这个漏洞代码,他们将需要扫描所有网络应用来寻找易受攻击的系统。

为了抵御这种类型的Java序列化攻击,企业应该将安全整合到其软件开发生命周期中。作为非特权用户运行web服务器而没有在系统执行代码的权限,可减少该漏洞被用于远程代码执行的风险。


作者:Nick Lewis

来源:51CTO

weixin_34162228
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java序列化和JNDI注入漏洞案例实战
悦分享
08-04 967
CORBA全称(Common ObjectRequest Broker Architecture)也就是公共对象请求代理体系结构,是OMG(对象管理组织,一个非盈利性的计算机行业标准协会)制定的一种标准的面向对象应用程序体系规范。其提出是为了解决不同应用程序间的通信,曾是分布式计算的主流技术。CORBA标准主要分为三个部分,IDL(接口语言)、ORB(对象请求代理)、IIOP(ORB之间的操作协议)。其结构主要分为三部分:naming service、client side、servant side。...
的确,Java存在缺陷。但是……
weixin_34248118的博客
05-06 120
【编者按】本文作者为资深码农 Tim Spann,主要讲述 Java 让人无法抗拒的众多优点以及一些些缺陷。本文系国内 ITOM 管理平台 OneAPM 编译呈现,以下为正文。 早在90年代中期,笔者在E&Y工作时,就开始使用Java编程,那是我使用的还是Java 1.0版本。HotJava是当时唯一的书,而且只有语言规范。当时,...
java缺陷修复
while(life)++;
03-13 3857
输入验证:日志伪造 问题 允许日志记录经验证的用户输入,会导致日志伪造攻击。 解决
java bean如果不进行序列化会发生什么?
勇气与行动
06-19 4891
代码参考:https://www.jb51.net/article/118646.htm 什么是序列化?将对象的状态信息转换为可以存储或传输的形式的过程,在序列化期间,对象将其当前状态写入到临时存储区或持久性存储区,之后,便可以通过从存储区中读取或反序列化对象的状态信息,来重新创建该对象。 java序列化的例子: public class Employee implements java....
Java序列化安全漏洞怎么回事?
Firstlucky77的博客
06-21 926
序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化序列化和反序列化本身并不存在问题。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构
rmi反序列化导致rce漏洞修复_记一次Java序列化漏洞的发现和修复
weixin_39604516的博客
12-23 648
作者:bit4@勾陈安全0x00 背景简介本文是自己对一次反序列化漏洞的发现和修复过程,如有错误请斧正,大神请轻喷。目标应用系统是典型的CS模式。客户端是需要安装的windows桌面程序,但是它是大部分内容都是基于Java开发(安装目录有很多Jar包)。服务端是基于Jboss开发。客户端和服务端之间的通信流量是序列化了的数据流量。客户端接收和解析数据流量的模式和服务端一样,也是通过http服务,它...
java代码审计之浅谈Java序列化漏洞修复方案
liguangyao213的博客
02-19 4097
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 概述 序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java程序使用ObjectInputStream对象的readObject方法将反序列化数据转换为java对象。但当输入的反序列化的数据可被用户控制,那么攻击者即
JAVA序列化漏洞修复解决方法
05-05 2967
MyObject类建立了Serializable模块,而且重新写过了readObject()变量,仅有建立了Serializable模块的类的目标才能够被实例化,沒有建立此模块的类将无法使他们的任意状态被实例化或逆实例化。这儿的readObject()方法的功能是以1个源键入流中载入字节数编码序列,再把他们反序列化为1个目标,并将其回到,readObject()是能够重新写过的,因而能够订制反序...
rmi反序列化导致rce漏洞修复_Hessian反序列化RCE漏洞复现及分析
weixin_35677363的博客
12-23 96
Hessian是一个轻量级的RPC框架。它基于HTTP协议传输,使用Hessian二进制序列化,对于数据包比较大的情况比较友好。Hessian反序列化类似Java序列化,可导致RCE,POC好像2017年就公开了,但是最新版本hessian-4.0.60.jar,经过测试也存在反序列化RCE问题。使用marshalsec项目工具( https://github.com/mbechler/mars...
Java “后反序列化漏洞” 利用思路1
08-03
Java "后反序列化漏洞"是指在程序进行反序列化操作之后,恶意构造的序列化对象能够触发非预期的行为,通常包括执行任意代码。这种漏洞常见于Java平台,因为Java序列化机制允许对象状态的持久化,但也为攻击者提供...
Java Web反序列化网络安全漏洞分析.pdf
03-31
- 过时或不安全的组件:使用了已知存在反序列化漏洞的第三方库,如Apache Commons Collections。 - 缺乏输入验证:对输入的序列化数据进行严格的校验,使得恶意数据能够成功反序列化。 3. **攻击场景** - 通过...
Weblogic全版本反序列化漏洞利用工具.jar
07-03
序列化漏洞通常出现在Java、.NET等面向对象编程语言中,当应用程序在接收到网络传输的数据并将其反序列化为对象时,如果进行充分的安全验证,攻击者可以通过构造恶意的序列化数据来执行任意代码,从而获取服务器...
javaRMI反序列化漏洞验证工具
08-21
Java RMI的反序列化漏洞主要源于不正确的类型检查和信任机制。当接收到经验证的远程调用时,如果服务器没有正确地校验或限制输入数据,攻击者可以通过构造恶意序列化数据来操控远程对象的行为。这种漏洞可能允许...
系统漏洞安装(java序列化补丁漏洞
03-29
WebLogic中的反序列化漏洞通常源于其内部组件或第三方库在反序列化进行充分的输入验证。攻击者可以构造特殊的Java序列化对象,通过HTTP请求或者其他服务接口传入,触发恶意代码执行。 Oracle数据库也可能受到...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 635
1.导入hutool的maven依赖。2.复制一下代码执行。
SpringBoot+Vue图书(图书借阅)管理系统-附项目源码与配套文档
最新发布
m0_74283290的博客
08-03 674
本论文阐述了一套先进的图书管理系统的设计与实现,该系统采用Java语言,结合现代Web开发框架和技术,旨在为图书馆提供高效、灵活且用户友好的资源管理解决方案。系统利用Spring Boot框架为核心,整合MyBatis ORM工具,以及MySQL数据库,构建了一个高性能、可扩展的后端服务。前端界面则采用了Vue.js框架,以提供流畅的用户交互体验。论文首先进行了详尽的需求分析,确定了系统的核心功能,包括图书的添加、编辑、删除、查询,读者的注册、登录、个人信息管理,以及图书的借阅、归还、续借流程。
社区养老服务小程序的设计
Karen198的博客
07-31 561
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
Springboot+Websocket+Security+Vue 实现弹幕推送功能
Gemini1995的博客
08-01 499
【代码】Springboot+Websocket+Security+Vue 实现弹幕推送功能。
java序列化攻击
10-05
Java序列化攻击是一种安全漏洞,攻击者可以通过操纵反序列化过程中的输入数据,来执行授权的操作。攻击者可以通过修改被序列化的对象的内容,或者创建恶意的序列化数据,来导致代码执行、远程命令执行、上传恶意...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值