不安全的反序列化(五)

最新推荐文章于 2024-05-02 07:07:10 发布
最新推荐文章于 2024-05-02 07:07:10 发布
阅读量3.9k 收藏 1
点赞数
文章标签: 反序列化漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37642345/article/details/82776567
版权

WHY:

分布式应用程序或那些需要在客户端或文件系统上存储状态的程序,可能正在使用对象序列化,具有公共倾听器或依赖于客户端维护状态的分布式应用程序,很可能允许对序列化数据进行篡改。这种攻击可使用于二进制格式,或基于文本的格式。
1,序列化机制允许创建任意数据类型;
2,有可用于将应用程序链接在一起的类,以反序列化期间或之后改变应用程序行为,或者使用非预期的内容来影响应用程序行为;
3,应用程序或API接受并反序列化攻击者提供的恶意对象,或者应用程序使用了不具有恰当防篡改控制的序列化不透明客户端状态。
4,安全状态发送到缺失了完整性控制的不受信客户端,很容易受到反序列化的攻击。

HOW:

唯一安全的架构模式是不接受来自不受信源的序列化对象,或使用只允许原始数据类型的序列化媒体。

1,对序列化对象执行完整性检查或加密,以防止恶意对象创建或数据篡改;

2,在创建对象之前强制执行严格的类型约束;

3,隔离反序列化的代码,使其在非常低的特权环境中运行;

4,记录反序列化的丽娃情况和失败信息,如:传入的类型不是预期的类型,或者反序列处理引发的例外情况;

5,限制或监视来自于容器或服务器传入和传出的反序列化网络连接;

6,监视反序列化,当用户持续进行反序列化时,对用户进行警告。

攻击案例场景

场景 #1:一个React应用程序调用了一组Spring Boot微服务。作 为功能性程序员,他们试图确保他们的代码是不可变的。他们提 出的解决方法是序列化用户状态,并在每次请求时来回传递。攻 击者注意到了“R00”Java对象签名,并使用Java Serial Killer工 具在应用服务器上获得远程代码执行。
场景 #2:一个PHP论坛使用PHP对象序列化来保存一个“超 级”cookie。该cookie包含了用户的用户ID、角色、密码哈希和其 他状态:
a:4:{i:0;i:132;i:1;s:7:“Mallory”;i:2;s:4:“user”; i:3;s:32:“b6a8b3bea87fe0e05022f8f3c88bc960”;}
攻 击 者 更 改 序 列 化 对 象 以 授 予 自 己 为 a d mi n 权 限 : a:4:{i:0;i:1;i:1;s:5:“Alice”;i:2;s:5:“admin”;
i:3;s:32:“b6a8b3bea87fe0e05022f8f3c88bc960”;}

努力让自己更优秀
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
《WEB安全渗透测试》(36) JAVA反序列化工具ysoserial使用介绍
午夜安全
05-31 1749
作者介绍:ysoserial是一款用于生成利用不安全的Java对象反序列化的有效负载的概念验证工具。ysoserial其实就是工具,集合了各种java反序列化的payload,利用它可以方便的测试反序列化漏洞
spring-remoting中的httpInvoker实现并安全验证
lsblsb的专栏
10-09 5230
1. 简单介绍httpInvoker的实现  2.
关于springboot的序列化和反序列化问题
qq_48504988的博客
04-30 2272
在springboot中有时候需要将Datatime的格式进行格式化,有时候Long型的数据超过16位传值到前端js中会丢失精度,解决这个问题需要将Long型先转为String类型在传值到前端。 所以可以编写实现类继承ObjectMapper,ObjectMapper 类是Jackson的主要类,主要实现java类和json对象之间的转换。 这个方法基本满足springboot项目的要求。 package com.example.blog.common; import com.fasterxml.
springboot解决fastJson反序列化漏洞
qq_42184571的博客
01-24 1212
springboot解决fastJson反序列化漏洞 1.fastJson版本升级为>1.2.66 **启动类添加** //解决fastJson反序列化漏洞,关闭autoType static { ParserConfig.getGlobalInstance().setSafeMode(true); }
【代码扫描修复】不安全反序列化攻击(高危)_java反序列化漏洞修复
最新发布
2401_84302369的博客
05-02 762
将内存对象转化为可以存储以及传输的二进制字节、xml、json、yaml 等格式。将虚化列存储的二进制字节、xml、json、yaml 等格式的信息重新还原转化为对象实例。数据格式序列化后的信息样例二进制在这里插入图片描述xmljsonyaml!/\*\*\* 白名单校验\*/super(in);@Override// 白名单校验if (!使用示例:Test.java/\*\*\* 序列化\*/try {/\*\*\* 反序列化
Tomcat反序列化漏洞
flyingzc的博客
07-19 1300
Tomcat反序列化漏洞 CVE-2020-9484 漏洞简介 当使用tomcat时,如果使用了tomcat提供的session持久化功能,如果存在文件上传功能,恶意请求者通过一个流程,将能发起一个恶意请求造成服务端远程命令执行。 影响版本 <= 9.0.34 <= 8.5.54 <= 7.0.103 漏洞分析 配置的className=“org.apache.catalina.session.FileStore” 查看FileStore的load方法,代码如下 public Sessio
Java反序列化安全漏洞防控
04-19
本文描述了著名的java反序列漏洞的介绍的修补方案,主要是解决了Apache commons-collection的漏洞修补方案。
java反序列化工具
11-21
然而,这个过程也可能引入安全风险,因为不安全反序列化可能导致远程代码执行(RCE)漏洞。 在给定的标题和描述中,提到了几个关键的服务器端应用平台:JBoss、WebLogic和WebSphere。这些都是流行的Java企业级...
c#序列化和反序列化
05-24
什么叫反序列化? 就是再把介质中的东西还原成对象,把石子还原成人的过程。 在进行这些操作的时候都需要这个可以被序列化,要能被序列化,就得给类头加[Serializable]特性。 通常网络程序为了传输安全才这么做。不...
shiro反序列化脚本.zip
07-28
当不安全反序列化发生时,恶意用户可能会提供一个特制的序列化流,导致在反序列化过程中执行非预期的代码。 综上所述,这个压缩包包含的资源可以帮助我们理解和利用Apache Shiro的反序列化漏洞。首先,我们需要...
Java反序列化实战.pdf
08-08
本议题将从那些经典案例入手,分析攻击方和防御方的对抗过程。会从fastjson与weblogic的两个经典漏洞,带大家傲游反序列化的世界。 反序列化入门 Fastjson Weblogic 反序列化防御
SpringMVC拦截白名单配置
core815的专栏
10-26 960
SpringMVC拦截白名单配置
java httpinvoker漏洞_Java反序列化漏洞学习
weixin_39683021的博客
02-16 672
序列化是Java提供的一种对象持久化保存的技术。常规对象在程序结束后会被回收,如果想把对象持久保存方便下次使用,需要序列化和反序列化。序列化有两个前提:类必须实现java.io.serializable接口类所有字段都必须是可序列化的反序列化漏洞利用原理1. 利用重写ObjectInputStream的readObject重写ObjectInputStream的readObject方法时,可执行恶...
XML处理利器:XStream
程序员
02-24 1205
在项目中进行一些类似黑名单、白名单的配置时,需要多个文本文件,很麻烦。本文要通过XStream实现一个XML文件,配置多个功能。本文主要参考《Spring 3.X 企业应用开发实战》第14章内容,加了一下自己的理解,自己的应用。XStream概述XStream是一套简洁易用的开源框架,用于将java对象序列化为XML文件或者XML文件反序列化为java对象,是java对象和XML相互转换的利器。XS
Spring HTTP Invoker 学习小记
小虾记事
06-09 576
Spring HTTP Invoker是spring框架中的一个远程调用模型,执行基于HTTP的远程调用,也就是说,可以通过防火墙,并使用java的序列化机制在网络间传递对象。客户端可以很轻松的像调用本地对象一样调用远程服务器上的对象,要注意的一点是,服务端、客户端都是使用Spring框架。下面通过一个例子,来 讲解Spring HTTP Invoker的使用,这里使用的是 Spring2.5
java httpinvoker漏洞_一次Java反序列化漏洞的 “盲”利用
weixin_39979617的博客
02-16 398
在黑盒渗透测试中,我们遇到了一个 Java Web 应用程序,它向我们提供了一个登录页面。尽管我们设法绕过了认证机制,但是我们却做不了什么事情。攻击面还是很小,只能篡改一些东西。1. 确定入口点在登录页面中,我注意到每个登录请求都发送了一个隐藏的 POST 参数:这是个 Base64 RO0 (AC ED 的 HEX 编码)编码的字符串,证实了我们处理的是 Base64 编码过的 Java 序列化...
Spring源码深度解析(郝佳)-学习-HttpInvoker使用及源码解析
黄裳博客
04-22 591
  Spring开发小组意识到在RMI服务和基于HTTP的服务如(Hessian和Burlap)之间的空白,一方面,RMI使用Java标准对象序列化,很难穿越防火墙,另一方面,Hessian/Burlap能很好的穿过防火墙工作,但是使用自己的私有的一套磁序列化机制。   就这样,Spring的HttpInvoker应运而生,HttpInvoker是一个新的远程调用模型,作为Spring框架的一部分,来执行基于HTTP的远程调用(让防火墙高兴的事情),并使用Java序列化机制 (让程序员高兴的事情)。   我
java/spring 等相关框架 漏洞原理汇总
FREEDOM
03-31 1331
JNDI 中的 rmi或ldap 所造成漏洞 rmi 客户端与服务端之间 传输的是序列化后的类实例对象,然后在客户端在反序列化生成对象,并初始化调用构造方法。 ldap 协议也会造成本地执行远程class文件的问题,不同与rmi,ldap 会加载远程class类文件到本进行实例化构造方法!!! 参考:https://liuhuiyao.blog.csdn.net/article/details/121877227 log4j的 jndi漏洞 log4j-2.x 版本jndi漏洞(使用ldap协议.
java反序列化漏洞利用工具_Apache Dubbo 反序列化漏洞
weixin_39579468的博客
12-02 560
Apache Dubbo 反序列化漏洞早在2019年开发者社区就有谈到这个 http 协议漏洞问题,近期360灵腾安全实验室判断漏洞等级为高,利用难度低,威胁程度高。 建议升级 dubbo 版本,避免遭受黑客攻击。漏洞描述Unsafe deserialization occurs within a Dubbo application which has HTTP remoting enabled....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值