hessian序列化_漏洞情报Apache Dubbo反序列化漏洞及补丁绕过(哨兵云支持检测)...

最新推荐文章于 2023-11-29 10:13:09 发布
最新推荐文章于 2023-11-29 10:13:09 发布
阅读量327 收藏
点赞数
文章标签: hessian序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36194075/article/details/113076442
版权
0cc31db871566a10190710d7bb772733.png

Apache Dubbo 是一种基于 Java 的高性能 RPC 框架。该项目于 2011 年开源,并于 2018 年 2 月进入 Apache 孵化器,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。

近日,默安科技应急响应中心发现Apache Dubbo发布安全公告,披露Provider默认反序列化导致的远程代码执行漏洞(CVE-2020-1948),攻击者可以发送带有无法识别的服务名或方法名及某些恶意参数负载的RPC请求,当恶意参数被反序列化时将导致代码执行。

默安科技的哨兵云资产风险监控系统目前已支持该漏洞的检测。如果您的企业存在相关风险,可以联系默安科技辅助检测是否受到此类漏洞影响,以免被攻击者恶意利用,造成品牌和经济损失。

漏洞概况

Dubbo 2.7.6或更低版本采用的默认反序列化方式存在代码执行漏洞,当Dubbo服务端暴露时(默认端口:20880),攻击者可以发送未经验证的服务名或方法名的RPC请求,同时配合附加恶意的参数负载。当恶意参数被反序列化时,将执行恶意代码。

经验证,该反序列化漏洞需要服务端存在可以被利用的第三方库。研究发现,极大多数开发者都会使用的某些第三方库存在易被利用的攻击链,攻击者可以利用它们直接对Dubbo服务端进行恶意代码执行,影响广泛。

近日,有安全研究员声称Apache Dubbo 官方之前发布的2.7.7版本修复方式存在绕过风险。经测试,该漏洞仍然可被利用。

受影响版本

Apache Dubbo 2.7.0 ~ 2.7.7

Apache Dubbo 2.6.0 ~ 2.6.7

Apache Dubbo 2.5.x 所有版本 (官方不再提供支持)

漏洞检测

对于该漏洞,目前默安科技的哨兵云资产风险监控系统已支持通过安装相关应急插件进行检测,如下图所示。

f80869c649e080f9566a8d2aea9750d1.png

修复建议

1. 等待官方发布最新修复补丁。(https://github.com/apache/dubbo/releases)

2. 只允许可信源访问,配置IP白名单进行限制或关闭公网端口。

3. 更换默认的反序列化方式:Dubbo协议默认采用Hessian作为序列化反序列化方式,而Hessian存在危险的反序列化漏洞。

参考链接: https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7 https://xlab.tencent.com/cn/2020/06/23/xlab-20-001/ https://cloud.tencent.com/announce/detail/1159

f22c971f7c65d3c7d6bcf92d902d6914.gif

天马微云
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Hessian 反序列化RCE漏洞复现
0xSec
12-29 2353
Hessian是二进制的web service协议,官方对Java、Flash/Flex、Python、C++、.NET C#等多种语言都进行了实现。Hessian和Axis、XFire都能实现web service方式的远程方法调用,区别是Hessian是二进制协议,Axis、XFire则是SOAP协议,所以从性能上说Hessian远优于后两者,并且Hessian的JAVA使用方法非常简单。它使用Java语言接口定义了远程对象,集合了序列化/反序列化和RMI功能。Hessian是一个轻量级的RPC框架。
Java Hessian反序列化漏洞
Keepb1ue的博客
01-10 4316
Java Hessian反序列化漏洞复现
Hessian反序列化漏洞学习记录
include_voidmain的博客
10-13 855
Hessian反序列化漏洞学习记录
Apache Dubbo Hession反序列化漏洞(CVE-2022-39198)
huofuman960209的博客
11-07 2160
Apache Dubbo组件存在Hession反序列化漏洞,该漏洞是由于Dubbo hessian-lite 3.2.12及之前版本中存在反序列化漏洞,利用此漏洞可在目标系统上执行恶意代码,最终获取服务器最高权限,漏洞编号:CVE-2022-39198,漏洞威胁等级:高危。
shrio反序列漏洞修复_提醒:Apache Dubbo存在反序列化漏洞
weixin_39583521的博客
12-01 125
背景:近日监测到Apache Dubbo存在反序列化漏洞(CVE-2019-17564),此漏洞可导致远程代码执行。Apache Dubbo是一款应用广泛的高性能轻量级的Java RPC分布式服务框架。鉴于漏洞危害较大,建议尽快更新软件。情报通告:威胁程度:个人风险评级:低危企业风险评级:中危情报风险预警:对公司影响等级为中,对使用Apache Dubbo相应版本的企业均有被攻击的风险。情报描述:...
dubbo-exp:Dubbo反序列化一键快速攻击测试工具,支持dubbo协议和http协议,支持hessian反序列化和java原生反序列化
05-09
工具仅用于安全研究以及内部自查,禁止使用工具发起非法攻击,造成的后果使用者负责Dubbo反序列化测试工具使用帮助usage: java -jar exp.jar [OPTION]-h --help 帮助信息-l --list 输出所有gadget信息-g --gadget ...
Hessian 2.0序列化协议规范.docx
09-14
Hessian 2.0序列化协议规范》 在分布式计算和网络通信中,数据的序列化反序列化是至关重要的环节。Hessian 2.0是一种高效的二进制序列化协议,它旨在减少网络传输的数据量,提高数据交换的效率。本文将详细介绍...
Hessian.rar_ Hessian_hessian c_hessian matrix_hessian图像增强_hessia
07-14
图像的HESSIAN矩阵特征图像,从而可以针对特征值进行对图像增强
浅谈Java序列化hessian序列化的差异
08-29
Java序列化Hessian序列化的差异 Java序列化Hessian序列化是两种常用的序列化机制,它们都可以将对象转换为字节流,以便在网络上传输。但是,两者之间有着很大的差异,今天我们就来比较一下它们的实现机制和特点...
harris.m.rar_harris.m_harris比较_角点 检索_角点检测
07-15
因此,在实际应用中,可能会有其他角点检测算法与Harris算法进行比较,如Shi-Tomasi(Good Features to Track)、Hessian矩阵为基础的Laplace of Gaussian(LoG)角点检测、以及更现代的快速算法如FAST和ORB等。...
javaRMI反序列化漏洞验证工具
08-21
检测javaRMI反序列化漏洞
SOFA-Hessian反序列漏洞
weixin_47208161的博客
02-21 832
背景笔者注意到https://github.com/alipay/sofa-hessian提到了安全相关: 直觉告诉我在实际工作中建设总比破坏更难,总有业务团队和安全团队...
Dubbo反序列化漏洞,网易轻舟提供全方位解决方案
网易数帆社区博客
02-18 2458
2020年2月13日,Apache Dubbo官方发布了一条反序列化漏洞漏洞编号:CVE-2019-17564)的通告,漏洞等级中危。轻舟微服务虽然支持Apache Dubbo,但由于在架构设计上的优化,可保证用户不会受此次漏洞影响。 漏洞原理及影响范围 Apache Dubbo支持多种通信协议,官方默认为Dubbo协议,当用户选择HTTP协议进行通信时,攻击者可以利用该漏洞在目标网站上远程...
Javaweb安全——Hessian 反序列化
weixin_43610673的博客
02-03 1878
Hessian类似于RMI也是一种RPC(Remote Produce Call)的实现。基于HTTP协议,使用二进制消息进行客户端和服务器端交互。Hessian 自行定义了一套自己的储存和还原数据的机制。对 8 种基础数据类型、3 种递归类型、ref 引用以及 Hessian 2.0 中的内部引用映射进行了相关定义。这样的设计使得 Hassian 可以进行跨语言跨平台的调用。
Dubbo反序列化漏洞分析集合
AS011x的博客
09-09 3755
调用相应的反序列化函数对数据流进行反序列化操作。,如果不满足则直接抛出异常。若pojo为Map实例,则从pojo(也就是一开始的第三个参数)获取key为“class”的值,并通过反射得到class所对应的类type,再判断对象的类型进行下一步处理。在之前的分析中我们知道了这个方法是用来获取数据体中的一些信息用的,其中一种利用方式就是通过在读取version的时候,调用readUTF方法,跟进。主要是通过获取tag位,进行相应的处理,但是这里关键的就是,当这里不是一个String类型的时候,将会抛出异常。
『Java安全』反序列化-浅析Hessian反序列化POP链
Ho1aAs‘s Blog
07-22 1131
# 反序列化漏洞原理 在反序列化时,会通过标志位判断对象的类型,然后调用对应类的反序列化器 对应方法在`SerializerFactory.loadDeserializer()` 具体会**调用到Map的put方法**写入键值对 **对于Map类:会调用反序列化器的readMap方法进行反序列化操作**,默认反序列化出来的是HashMap类 而**HashMap的put方法就会调用键自身的hashCode方法来判断是否有重复**,进而就造成了漏洞风险,这里不再赘述 **对于TreeMap还有equals.
Hessian 反序列化及XXL-JOB
zkaqlaoniao的博客
11-29 1045
我们经常在CTF里见到Java反序列化的题,而如何从CTF过渡到实战中是一个坎儿,今天就说一次在实战中遇到的不出网Hessian反序列化问题。文章所有内容无敏感信息,均为本地环境,只做思路分享。
升级dubbo3方案
Brucelwl的博客
07-22 938
dubbo3升级方案
反序列化工具_Hessian反序列化RCE漏洞复现及分析
weixin_40003512的博客
12-02 1417
Hessian是一个轻量级的RPC框架。它基于HTTP协议传输,使用Hessian二进制序列化,对于数据包比较大的情况比较友好。Hessian反序列化类似Java反序列化,可导致RCE,POC好像2017年就公开了,但是最新版本hessian-4.0.60.jar,经过测试也存在反序列化RCE问题。使用marshalsec项目工具(https://github.com/mbechler/...
hessian反序列化漏洞
最新发布
01-06
Hessian反序列化漏洞是指在Hessian协议中,由于不充分的输入验证或者对用户输入数据的不完全信任,导致攻击者可以利用恶意构造的序列化数据,执行远程代码。这种漏洞在实际应用中可能会导致严重的安全问题,例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值