java session串号,tomcat session漏洞反序列化详解

最新推荐文章于 2021-09-02 14:32:54 发布
最新推荐文章于 2021-09-02 14:32:54 发布
阅读量265 收藏
点赞数
文章标签: java session串号

1. 条件

1)攻击者可以控制服务器上的文件名/文件内容

2)tomcat context配置了persistencemanager的fileSotre

3) persistenceManager 配置了sessionAttributeValueClassNameFilter的值为NULL或者宽松过滤

4) 攻击者知道fileSotre存放位置

条件非常苛刻, 需要同时满足该4个条件。

2. 漏洞原理

利用tomcat创建的session,反序列后进行恶性攻击。 一般而言,session存在于服务器内存中,当服务器重启或者重新加载时,内存中的session就会全部丢失。为了避免这种情况,在某一些场合下,服务器的session可以存放在文件系统中或者数据库中,该过程称之为session持久化,session持久化是将session以序列化的形式存放的,因此存放session需要实现java的序列号接口(java.io.serialize).

具体创建过程如下:

发起session请求》tomcat servelet容器创建httpsession对象》容器将httpsession对象从内存中移到文件系统中或者数据库中》再次需要访问请求时直接从文件系统或者数据库中加载session至内存。

session保存到文件系统具体配置,context.xml

即,通过persistenceManger持久化,将文件存放在文件系统,位置为…/session

反序列过程:tomcat的FileSore 加文件直接反序列化获取session

用ysoserial生成一个反序列化文件

java -jar ysoserial.jar CommonsCollections2 "calc" > /tmp/22222.session

通过JSESSION加载恶意的session持久化文件

GET /bug/api HTTP/1.1

Host: 127.0.0.1:8080

Cookie: JSESSIONID=evilFIle

3. 影响版本

Apache Tomcat 10.x < 10.0.0-M5

Apache Tomcat 9.x < 9.0.35

Apache Tomcat 8.x < 8.5.55

Apache Tomcat 7.x < 7.0.104

4. 修复方法

1. 升级版本,

2. 开启禁用session

取消注释

誓死追随苏子敬
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java none tomcat_自研 JavaRasp 检测到 Tomcat Session 反序列漏洞(CVE-2020-9484)
weixin_36084686的博客
02-24 240
0x01 简介Apache Tomcat 是一个开放源代码、运行servlet和JSP Web应用软件的基于Java的Web应用软件容器。0x02 漏洞概述这次是由于错误配置和 org.apache.catalina.session.FileStore 的 LFI 和反序列化漏洞引起的 RCE。当配置了 org.apache.catalina.session.PersistentManager 并...
java 用户串号_并发时Java HttpSession串号问题
weixin_39632379的博客
02-27 559
框架为SpringMVC+Mybatis,在用户登录时候保存用户信息到HttpSession中,而后从Session中获取用户的部分信息。在本地测试中没有问题,但是放到真实环境中,用户产生并发则出现Session串号的问题(A用户看到的不是自己的信息,而是B用户的信息,同样的B用户看到的是别的用户的信息,刷新一下又变成自己的信息),请问大家有何好的解决方案?下面是我登录放置Session的代码:f...
session 串号问题
X-Teamer提炼商业万有引力模型, 低成本定制化开发
03-23 1210
session ID就是登陆的KEY, 所有持有session ID,一般不会串号,除非你作死,把session作为全局的类变量, 或者静态变量来玩。 作为局部变量的情况下,session id正确,就不可能串号。 另外, 如果是小程序、APP,特别要注意,登陆的之前,要有一个专属接口, 去拿到session id, 不要用登陆的接口持有session, 这里很容易出现串号。 ...
java反序列化漏洞 tomcat_Tomcat Session(CVE-2020-9484)反序列化漏洞复现
weixin_42523670的博客
02-16 746
0x01简介Apache Tomcat最早是由Sun Microsystems开发的一个Servlet容器,在1999年被捐献给ASF(Apache Software Foundation),隶属于Jakarta项目,现在已经独立为一个顶级项目。Tomcat主要实现了Java EE中的Servlet、JSP规范,同时也提供HTTP服务,是市场上非常流行的Java Web容器。Tomcat 服务器是...
java session串号,IHS session串号问题求助
weixin_42297982的博客
03-12 271
一个IHS下拖了6个server,偶尔出现A的sessioin到B的session情况。有专家知道是咋回事吗?另外IHS plugin日志中报了很多异常信息:[Mon Jun 16 06:17:12 2014] 00005f77 c0b76b90 - ERROR: ws_server_group: NewserverGroupNextRoundRobinServer: Failed to fin...
深入解析PHP中SESSION反序列化机制
10-20
主要介绍了PHP中SESSION反序列化机制的相关资料,文中介绍的非常相信,相信对大家具有一定的参考价值,需要的朋友们下面来一起看看吧。
深入浅析PHP的session反序列化漏洞问题
10-19
主要介绍了PHP的session反序列化漏洞问题,需要的朋友可以参考下
tomcat-session序列化(tomcat-kryo序列化)
06-21
tomcat kryo序列化,msm-memcached-session-manager-tc7-1.8.2
Tomcatsession详解(源码阅读)
fj_ding的专栏
05-08 250
也就是HashMap中的一个session对象,同时session除了在内存存储,同时还提供了持久化方法,tomcat中持久化有两种,一种是保存为文件,另一种则是保存到数据库。 这一节首先来看一下默认的StandardSession和StandardManager。 public interface Session { // ----------------------------------------------------- Manifest Constants public
*Session串号的问题(换号登录,还是原来账号的信息)
西瓜的博客
03-30 3380
案例:a登录后发现,进入了b的个人中心 代码分析:session(‘user’,$res); 因为你的name就是user是一样的,所以只要上一个用户不退出登录,N个用户都会直接登录 解决:每个用户设置session都要有唯一的标 ...
会话串号
weifly
03-28 318
最近碰到了串号问题,即A登录后,进入某个功能时,看到了B的页面。困扰了很多时间。查看http响应头内容如下:   Age:1762Content-Language:zh-CNContent-Length:25035Content-Type:text/html;charset=UTF-8Date:Mon, 28 Mar 2016 01:11:45 GMT   “Age”http头?查看ht...
说说会话串号
weixin_33921089的博客
06-13 113
说起淘宝网用户串号,我的印象里技术bug原因的有两起。2010年,这个串号持续的时间比较长,我估计应该存在几年时间了。从淘宝的论坛里隔三差五会爆出案例来,xxx突然在访问我的淘宝页面时进入了别人家的账号,第一感觉是发现“所有已买到的,或者已卖出的商品”都不是自己的,并且可以对这些信息进行任意的操作,比如删除,下架。另一起是,淘宝2012年11的时候爆出来的串号,突然有个卖家告...
tomcatsession流程分析
Bruce_Json的博客
09-02 419
入口在request中的doGetSession 每个请求都会由findSession根据sessionId获取session ,没有session就创建session,有就调用 isValid 验证session是否过期 首次进入会调用createSession方法创建一个sessoin存储到session容器中 session容器就是个map,session创建完成后添加到容器中 创建session方法,控制session超时时间变量即maxInactiveIn...
asp Session 串号的解决方法
weixin_30556161的博客
03-21 207
昨天发布一个项目出现了Session串号的问题,就是用户A登录成功后,在刷新的过程中会出现用户B的信息,并可以操作B用户的所有信息,相当时登录了B的账号。 这是问题出现后吓我一跳,怎么会出现这个情况呢? 随后当然是指教度娘了,原来这个问题不是只有我遇到,很多的朋友都出现,那他们是怎么解决的呢? 看到一篇文章就给出了解决的办法:http://www.cnblogs.com/end/archiv...
20190713 关于session串号问题的记录
专注于后端开发,时常接触大数据 、人工智能等
07-13 889
公司开发了一个网站,A帐户在A电脑上登录 显示自己的信息 B帐户在B电脑上登录 显示自己的信息 过一会儿,A帐户刷新页面,出现了B帐户的用户基本信息 跟踪发现,session掉了。在log文件中可以查到sessionid是一样的。 http://ju.outofmemory.cn/entry/30713 https://www.iteye.com/problems/6765 http...
Session序列化
guoth的博客
07-03 675
如果对象被保存在了session中,toncat在重启或关闭是会吧Session对象序列化到硬盘,这个对象必须实现Serializable接口。 目录:Session序列化文件(.ser) 当用户第一次访问某个网站时会自动创建HttpSession,添加到HttpSession中的对象最好是实现Serializable接口,这样Servlet容器在必要的时候可以将其序列化到文件中,否则序列化时会...
java两个页面session,关于Session的漫笔
weixin_35740545的博客
03-14 833
场景:一、在同一款浏览器上,先后访问同一个网站,用不同帐号登录。最后一次登录覆盖前一次登录。说明:这个比较容易理解。从IE7开始,各款浏览器都统一规则:不同Tab页的窗口共享一个session。之所以会出现上述的情况,一般是出现在one page one application的应用。二,同一个应用服务器,即同一个IP上,部署两个应用。说明:以Tomcat为例,其他中间件类似。出现的原因是,两个应...
java web 登录机制_Java Web(三) 会话机制,Cookie和Session详解(转载)
weixin_30079201的博客
02-24 143
https://www.cnblogs.com/whgk/p/6422391.html很大一部分应该知道什么是会话机制,也能说的出几句,我也大概了解一点,但是学了之后几天不用,立马忘的一干二净,原因可能是没能好好理解这两种会话机制,所以会一直遗忘,一直重新回过头来学习它,今天好好把他总结一下,借鉴该文章中的内容,因为我觉得该篇文章确实写的很不错,解答了我很多疑问,特点是对cookie和sessio...
javasession对象序列化
最新发布
04-29
当客户端发起请求时,服务器根据Session ID来获取相应的Session对象,并将其反序列化Java对象。这样就可以在不同的请求之间共享Session对象。 要将Session对象序列化,需要确保Session对象中所有的属性都是可序列...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值