java反序列化漏洞修复_【修复总结】JAVA反序列化

最新推荐文章于 2024-06-01 09:45:00 发布
最新推荐文章于 2024-06-01 09:45:00 发布
阅读量2.7k 收藏 2
点赞数
文章标签: java反序列化漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36413157/article/details/115086546
版权

威胁说明

如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。

问题原因

类ObjectInputStream在反序列化时,没有对生成的对象的输入做限制,使攻击者利用反射调用函数进行任意命令执行。

CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法

问题根源

Apache Commons Collections允许链式的任意的类函数反射调用。

问题函数

org.apache.commons.collections.Transformer接口

问题版本

3.2.2之前所有版本

快速排查

目前打包有apache commons collections库并且应用比较广泛的主要中间件有Jenkins、WebLogic、Jboss、WebSphere、OpenNMS等。

如果使用了以上中间件,需检测中间件安装目录是否包含apache commons collections库及其版本。特别是项目中发现使用了readObject函数。如:

ls -R 安装目录 | grep commons-collections.jar

ls -R 安装目录 | grep *.commons-collections.jar

ls -R 安装目录 | grep apache.commons.collections.jar

ls -R 安装目录 | grep *.commons-collections.*.jar

如果包含,且版本低于3.2.2,请参考修复建议。

修复建议

1. 通用修复方案</

最低0.47元/天 解锁文章
hua liu
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
复现java反序列化漏洞的方法
weixin_47623655的博客
03-30 1556
在本文中,我们学习了如何使用ysoserial来生成恶意payload,以及如何利用Python的SimpleHTTPServer模块来搭建一个HTTP服务器来接收Tomcat发送的数据包。当反序列化一个包含恶意代码的序列化数据时,攻击者可以利用该漏洞在目标系统上执行任意代码,导致系统崩溃或数据泄露。通过上面的步骤,我们可以成功地复现Java反序列化漏洞,并在使用ysoserial生成恶意payload之后,我们需要将其发送到目标服务器进行验证漏洞是否存在。接下来,我们需要构造一个包含这个类的序列化数据。
Web安全--反序列化漏洞java篇)
bobo_milk的博客
11-29 3079
java反序列化参考
Java反序列化漏洞利用及修复 示例代码
白帽子凯哥哥的博客
01-03 645
Java反序列化漏洞发生在当应用程序或服务反序列化了恶意构造的或篡改的数据时。Java序列化是一个将对象转换为字节流的过程,以便可以将其写入磁盘、数据库或通过网络传输。反序列化则是将这些字节流重新构造成原始对象的过程。
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
qingkahui24689的博客
06-01 949
反序列化漏洞是一种安全漏洞,它允许攻击者将恶意代码注入到应用程序中。这种漏洞通常发生在应用程序从不安全的来源反序列化数据时。当应用程序反序列化数据时,它将数据从一种格式(例如JSON或XML)转换为另一种格式(例如对象或列表)。如果应用程序不检查数据的安全性,攻击者就可以将恶意代码注入到数据中。当应用程序反序列化数据时,恶意代码就会被执行,这可能导致应用程序被攻陷。
【代码扫描修复】不安全的反序列化攻击(高危)
ACGkaka的博客
11-07 1771
【代码扫描修复】不安全的反序列化攻击(高危)
java 序列化漏洞怎么解决?
半夏_2021的博客
05-05 1345
java 序列化漏洞怎么解决?
JAVA反序列化漏洞修复解决方法
05-05 2952
MyObject类建立了Serializable模块,而且重新写过了readObject()变量,仅有建立了Serializable模块的类的目标才能够被实例化,沒有建立此模块的类将无法使他们的任意状态被实例化或逆实例化。这儿的readObject()方法的功能是以1个源键入流中载入字节数编码序列,再把他们反序列化为1个目标,并将其回到,readObject()是能够重新写过的,因而能够订制反序...
java反序列化漏洞修复方案,看完必懂
m0_56662269的博客
06-27 574
数据库 1. MySQL 索引使用有哪些注意事项呢? 可以从三个维度回答这个问题:索引哪些情况会失效,索引不适合哪些场景,索引规则 索引哪些情况会失效 查询条件包含or,可能导致索引失效 如何字段类型是字符串,where时一定用引号括起来,否则索引失效 like通配符可能导致索引失效。 联合索引,查询时的条件列不是联合索引中的第一个列,索引失效。 在索引列上使用mysql的内置函数,索引失效。 对索引列运算(如,+、-、*、/),索引失效。 索引字段上使用(!= 或者 < >,not in)时
Java反序列化漏洞利用工具.zip
04-10
Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞是软件安全...及时的漏洞检查和修复是防止此类攻击的关键步骤,而"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271"这样的工具为安全管理人员提供了有力的辅助手段。
commons-collections-3.2.2、4-4.1
11-07
修复weblogic反序列化漏洞修复方法为:替换原来的common-collections组件,建议:原来是3.2.d就替换为3.2.2,原来是4.x,就替换为4.4.1,如果出现不兼容,则替换一个版本试试。 1.先停止weblogic 2.替换oracle\modules目录里的com.bean.core.apache.commons.collections_x.x.x.jar 3.启动weblogic
Java反序列化漏洞探析及其修复方法研究.pdf
07-02
Java反序列化漏洞探析及其修复方法研究.pdf
java反序列化漏洞工具
03-07
Java反序列化漏洞在WebLogic中可能表现为:攻击者通过向服务器发送精心构造的序列化对象,诱使服务器反序列化时执行恶意代码,从而控制服务器或获取敏感信息。 为了检测和验证WebLogic服务器是否存在此类漏洞,我们...
shiro 反序列化漏洞综合利用工具 shiro_attack_by J1anfen
11-05
在提到的 "shiro_attack_by J1anfen" 工具中,重点是针对 Apache Shiro 的一个特定安全问题:反序列化漏洞反序列化漏洞通常出现在程序中,当接收到从网络或持久存储中读取的数据,并将其转换回原来的对象实例时...
Java代码审计12之反序列化漏洞的审计与利用
划水的小白白
08-20 619
1、重点函数, 2、漏洞源码 3、利用工具 ysoserial 4、修复漏洞
Java Apache中的高危漏洞复现
tpaer的博客
08-12 1439
在15年Apache Commons Collections(ACC)被两位黑客爆出存在`反序列化漏洞`,由于Apache下的其他框架也免不了大量使用像List、Map、Set等Collection类,因此该漏洞覆盖范围非常之大。并且通过此漏洞可以执行任意操作,也是当年最危险的漏洞之一。...
Java反序列化漏洞修复
Dove_Knowledge的博客
10-27 1772
1、jar包反编译(JD-GUI) 2、反编译后的进行代码审核,看是否有前端payload中的数据直接被反序列化(如果Java应用对用户输入,即不可信数据做了反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。) 3、修复方案 (1)重写 ObjectInputStream#resolveClass 方法resolveClass 会在 readObject 前自动触发,我们可以通过重写 resolveClass 来读取类名,判断使
JAVA Web应用常见漏洞修复建议
qq_39560975的博客
07-27 6204
跨站脚本、输入验证、代码注入等常见漏洞解析和修改方案
RMI反序列化漏洞 修复
最新发布
06-08
RMI反序列化漏洞是一种常见的Java Web应用程序漏洞,攻击者可以利用该漏洞在目标服务器上执行任意代码。该漏洞利用的核心是Java反序列化机制,攻击者可以通过构造特定的序列化对象来触发漏洞。 要修复RMI反序列化漏洞,需要进行以下步骤: 1. 升级Java版本:在较新版本的Java中,已经修复了一些反序列化漏洞,因此升级Java版本是一种简单有效的修复方法。 2. 序列化对象过滤:过滤掉不受信任的序列化对象,只反序列化可信任的对象,这样可以有效减少攻击面。 3. 自定义序列化/反序列化机制:使用自定义的序列化/反序列化机制,不使用Java默认的序列化/反序列化机制,可以避免一些常见的反序列化漏洞。 4. 对于不必要的远程方法调用接口,可以禁用或者限制远程方法调用。 5. 增强代码审计:对于可能存在RMI反序列化漏洞的代码,进行仔细审计和测试,以及使用一些工具来帮助检测潜在的漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值