Java序列化漏洞防护_Java反序列化漏洞的挖掘、攻击与防护

最新推荐文章于 2023-11-07 01:17:42 发布
最新推荐文章于 2023-11-07 01:17:42 发布
阅读量642 收藏
点赞数
文章标签: Java序列化漏洞防护
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34822215/article/details/114960378
版权

1、Java反序列化漏洞的挖掘html

一、黑盒流量分析:java

在Java反序列化传送的包中,通常有两种传送方式,在TCP报文中,通常二进制流方式传输,在HTTP报文中,则大多以base64传输。于是在流量中有一些特征:socket

(1)TCP:必有aced0005,这个16进制流基本上也意味者java反序列化的开始;ide

(2)HTTP:必有rO0AB,其实这就是aced0005的base64编码的结果;函数

以上意味着存在Java反序列化,可尝试构造payload进行攻击。编码

二、黑盒java的RMI:spa

rmi是java的一种远程对象(类)调用的服务端,默认于1099端口,基予socket通讯,该通讯实现远程调用彻底基于序列化以及反序列化。code

三、白盒代码审计:htm

(1)观察实现了Serializable接口的类是否存在问题。对象

(2)观察重写了readObject方法的函数逻辑是否存在问题。

2、Java反序列化的攻击:

参见个人博客:

3、Java反序列化漏洞的防护:

一、类的白名单校验机制:

实际上原理很简单,就是对全部传入的反序列化对象,在反序列化过程开始前,对类型名称作一个检查,不符合白名单的类不进行反序列化操做。很显然,这个白名单确定是不存在Runtime的。

二、禁止JVM执行外部命令Runtime.exec

这个措施能够经过扩展 SecurityManager 能够实现。

1 SecurityManager originalSecurityManager =System.getSecurityManager();2 if (originalSecurityManager == null) {3 //建立本身的SecurityManager

4 SecurityManager sm = newSecurityManager() {5 private voidcheck(Permission perm) {6 //禁止exec

7 if (perm instanceofjava.io.FilePermission) {8 String actions =perm.getActions();9 if (actions != null && actions.contains("execute")) {10 throw new SecurityException("execute denied!");11 }12 }13 //禁止设置新的SecurityManager,保护本身

14 if (perm instanceofjava.lang.RuntimePermission) {15 String name =perm.getName();16 if (name != null && name.contains("setSecurityManager")) {17 throw new SecurityException("System.setSecurityManager denied!");18 }19 }20 }21

22 @Override23 public voidcheckPermission(Permission perm) {24 check(perm);25 }26

27 @Override28 public voidcheckPermission(Permission perm, Object context) {29 check(perm);30 }31 };32

33 System.setSecurityManager(sm);34 }

4、参考文献:

https://paper.seebug.org/312/

全屯最好的谢广坤
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
反序列化渗透与攻防(二)之Java反序列化漏洞
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
04-12 1090
JAVA反序列化漏洞到底是如何产生的?1、由于很多站点或者RMI仓库等接口处存在java反序列化功能,于是攻击者可以通过构造特定的恶意对象后的流,让目标反序列化,从而达到自己的恶意预期行为,包括命令执行,甚至 getshell 等等。2、Commons Collections是开源小组Apache研发的一个 Collections 收集器框架。
面试加分项:如何防止序列化和反射破坏单例模式
小渣渣的博客
09-12 370
大家应该都知道反射和序列化会破坏单例模式,但是一部分人可能不知道,如何防止这种破坏,下面文章就记录一下,如何防止单例模式被反射和序列化破坏! 1、单例模式 单例模式:顾名思义就是只有一个实例,并且它自己负责创建自己的对象,这个类提供了一种访问其唯一的对象的方式,可以直接访问,不需要实例化该类的对象。 实现方式:单例模式的实现方式有很多种,比如懒汉式,饿汉式,双重校验锁,静态内部类,枚举等等,这里就不一一贴出来代码看了,不熟悉或者感兴趣的同学可以点后面链接去自己查看。单例模式 我们这里先写一个饿汉式的,方便
不安全的反序列化(php&java)及漏洞复现
weixin_58954236的博客
09-06 1200
class Stu{在unserialize文件夹下新建一个stu.class.php文件,将上述代码复制进去。class(关键字:类),stu是类名。
java安全 反序列化(二)
sechelper的博客
12-07 567
java反射,CC6链源码分析,LazyMap利用连,ysoserial工具
web渗透测试----20、反序列化漏洞--(1)序列化反序列化
七天
03-09 1992
序列化反序列化
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
Java反序列化漏洞静态分析与动态验证研究与实现
最新发布
04-10
Java反序列化漏洞中存在利用链, 攻击者通常将其与任意命令漏洞结合控制服务器。人工检测反序列化链需要花费大量的精力, 需要依赖代码审计人员的专业知识。 文章基于污点分析提出 种静态检测和动态验证的方法, ...
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
Java反序列化漏洞介绍书籍
08-17
专业介绍Java反序列化漏洞知识,攻防技术
java反序列化漏洞-验证.rar
06-25
java反序列化漏洞-验证jar
历经30天,java反序列化流量特征
fanzhang_vip0723的博客
07-09 1190
线程 线程的启动 实现Runnab1e接口 继承Thread类 实现Callable接口 线程的状态 线程的方法 线程的优先级 守护线程 未捕获异常处理器 并发编程的问题 线程引入开销:上下文切换与内存同步 线程安全性(原子性+可见性) 死锁 线程间通信/线程同步 工具使用 synchronized Lock volatile Atomic Lock使用 深入 可重入锁 ReentrantLock Condition与wait&notify区别 await&signal
日均 5 亿查询量的京东订单中心,为什么舍 MySQL 用 ES ?
芋艿V
09-30 310
点击上方“芋道源码”,选择“设为星标”做积极的人,而不是积极废人!源码精品专栏原创 | Java 2019 超神之路,很肝~中文详细注释的开源项目RPC 框架 Dubbo 源码解析网络...
【代码扫描修复】不安全的反序列化攻击(高危)
ACGkaka的博客
11-07 1167
【代码扫描修复】不安全的反序列化攻击(高危)
网络安全课第六节 反序列化漏洞的检测与防御
fegus的博客
07-11 3364
上一讲介绍了 XXE 漏洞,它在业务场景中很容易用于读取敏感文件、进行代码执行,甚至也会用来渗透内网,也因此 XXE 漏洞常被当作一种严重漏洞来对待。本讲我将介绍另一种常用来实现远程代码执行的漏洞类型——反序列化漏洞,这几年经常出现在 Java 公共库,比如阿里的 fastjson,还有一些 Java 应用服务器,比如 JBoss。PHP 也有反序列化,比如著名的 Joomla 内容管理系统很多编程语言都有这种反序列化功能,若对反序列化的数据未做有效过滤和限制,就可能导致这种漏洞的产生。下面我就详细给你介绍
Web安全--反序列化漏洞java篇)
bobo_milk的博客
11-29 3018
java反序列化参考
Java反序列化
buffedon的博客
09-05 3703
Java反序列化Java反序列化概念漏洞原理漏洞危害漏洞出现点漏洞挖掘漏洞防御序列化反序列化代码参考文章 Java反序列化概念 在说反序列化之前,先说说序列化 序列化就是将对象转化为字节流,利于存储和被引用 反序列化序列化恰恰相反,是将字节流转化为对象 序列化的格式:json序列化,xml序列化,二进制序列化,SOAP序列化 序列化调用的函数 序列化java.io.ObjectOutputStream 类中的 writeObject() 实现 Serializable 和 Externaliz
Java反序列化漏洞及实例详解
ran的博客
04-15 3277
在这里我们将其原有的代码数据更改成了一个访问http的代码数据,当对方在进行反序列化的时候,就会将我们更改后的代码数据进行执行,就会对http进行访问。5.至此,我们可以想到,如果将反序列化的目标文件的内容进行修改,修改成具有攻击性的代码,那么就可以实现一定的攻击性行为。2.执行序列化部分的代码,可以看到在指定路径下生成了指定的文件,文件内包含序列化的内容。执行反序列化部分的代码,可以看到其反序列化成功,并且将原始的内容进行了返回。6.来到目标路径下可以看到生成的文件,以及文件内的序列化内容。
java反序列化漏洞分析
weixin_47623655的博客
03-30 2312
Java反序列化漏洞Java Deserialization Vulnerabilities)是一种常见的安全漏洞,其攻击方式是利用Java中的序列化反序列化机制,通过在序列化数据中插入恶意代码,导致反序列化过程中执行恶意代码。Java反序列化漏洞是由于Java序列化机制本身的缺陷导致的。为了防止恶意序列化数据被反序列化,可以在程序中对未知的序列化数据进行拒绝,或者对序列化数据进行白名单或黑名单的过滤。Java反序列化漏洞攻击方式主要有两种:基于本地文件的反序列化攻击和基于网络的反序列化攻击
清晰易懂java反序列化漏洞简介
weixin_56606020的博客
03-16 7677
Java反序列化漏洞 序列化反序列化序列化的数据是方便存储的,而存储的状态信息想要再次调用就需要反序列化 序列化就是把对象的状态信息转换为字节序列(即可以存储或传输的形式)过程 反序列化即逆过程,由字节流还原成对象 字节序是指多字节数据在计算机内存中存储或者网络传输时各字节的存储顺序。 作用: 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中; 2.在网络上传送对象的字节序列。 应用场景: 在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物..
Java反序列化漏洞
09-08
Java反序列化漏洞是指在Java程序中存在未经充分验证的反序列化操作,导致攻击者可以通过构造恶意的序列化数据来执行任意代码或获取敏感信息的安全漏洞。 这种漏洞的出现是因为反序列化操作中的ObjectInputStream类...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值