web安全-反序列化漏洞

最新推荐文章于 2024-05-28 16:15:00 发布
最新推荐文章于 2024-05-28 16:15:00 发布
阅读量2.8k 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43909140/article/details/124378822
版权

java在开发过程中,需要先编译再执行,所以和javascript这种可以随时插入代码运行的语言不同,java这种先打包再运行的高级语言确实看起来更安全。

所以个XSS攻击通过直接插入代码的方法不同,反序列化漏洞是要在已封装好的代码中插入攻击逻辑。

序列化:开发应用时,应用输出数据会转化成字符串或字节流。

1.将某个类序列化后存为文件,下次读取时只需将文件中的数据反序列化就可以将原先的类还原到内存中。也可以将类序列化为流数据进行传输。总的来说就是将一个已经实例化的类转成文件存储,下次需要实例化的时候只要反序列化即可将类实例化到内存中并保留序列化时类中的所有变量和状态。

2.对象、文件、数据,有许多不同的格式,很难统一传输和保存,序列化以后就都是字节流了,无论原来是什么东西,都能变成一样的东西,就可以进行通用的格式传输或保存,传输结束以后,要再次使用,就进行反序列化还原,这样对象还是对象,文件还是文件。

反序列化:应用将字符串或者字节流变成对象。

序列化和反序列化的实现方式:开发过程中使用一些序列化和反序列化的工具,比如 Fastjson 和 Jackson 等,还有 XML 和 JSON 这些跨平台的协议,可以把对象转化为带格式的文本,把文本再还原为对象。

反序列化漏洞是怎么产生的:问题就出在把数据转化成对象的过程中。在这个过程中,当传给 unserialize() 的参数可控时,那么用户就可以注入精心构造的 payload。当进行反序列化的时候就有可能会触发对象中的一些魔术方法,造成意想不到的危害。而黑客正是利用这

最低0.47元/天 解锁文章
ByteFancer
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
反序列化漏洞
weixin_46476861的博客
03-23 8658
什么是反序列化 就是把一个对象变成可以传输的字符串,目的就是为了方便传输。假设,我们写了一个class,这个class里面存有一些变量。当这个class被实例化了之后,在使用过程中里面的一些变量值发生了改变。以后在某些时候还会用到这个变量,如果我们让这个class一直不销毁,等着下一次要用它的时候再一次被调用的话,浪费系统资源。当我们写一个小型的项目可能没有太大的影响,但是随着项目的壮大,一些小问题被放大了之后就会产生很多麻烦。这个时候PHP就和我们说,你可以把这个对象序列化了,存成一个字符串,当你要用的时
WEB安全-PHP反序列化漏洞原理
qq_59350385的博客
04-11 1737
一、漏洞原理 在提及漏洞前,首先要先理解PHP中的serialize()和unserialize()两个函数(由于没有PHP开发基础,请各位大哥指出小弟本文中的错误),serizlize()就是将变量、对象、数组等数据类型转换成字符串方便进行网络传输和存储,再通过unserialize()将字符串进行转换成原来的数据。当存在反序列化函数及可利用魔术方法时,且unserialize()接受到的字符串对于用户是可控时,用户可针对使用的magic function(魔术方法)来构造特定的语句,从而达到控制整个反
一文了解反序列化漏洞
allintao的博客
03-21 913
通过再cookie的rememberme字段中插入恶意payload触发shiro框架的rememberme的反序列化功能,导致任意代码执行shiro1.2.24中,提供了硬编码的AES密钥:kPH+bIxk5D2deZiIxcaaaA==由于开发人员未修改AES密钥而直接使用shiro框架,导致了该问题Fastjson是java的一个库,可以通过toJSONString()方法。
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
最新发布
2302_76672693的博客
05-28 993
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
反序列化漏洞详解
xcxhzjl的博客
11-18 1万+
一、反序列化漏洞原理 1、相关概念 序列化(Serialization):将对象的状态信息转换为可以存储或传输的形式的过程,一般将对象转换为字节流。序列化时,对象的当前状态被写入到临时或持久性存储区。 反序列化(Deserialization):从序列化的表示形式中提取数据,即把有序字节流恢复为 2、序列化出现场景 ●远程和进程间通信(RPC/IPC) ●连线协议、Web服务、消息代理 ●缓存/持久性 ●数据库、缓存服务器、文件系统 ●HTTP cookie、HTML表单参数、API身份验
常见的Web漏洞——反序列化漏洞
热门推荐
江左盟的博客
06-07 1万+
反序列化简介 序列化:把对象转换为字节序列的过程,即把对象转换为可以存储或传输的数据的过程。例如将内存中的对象转换为二进制数据流或文件,在网络传输过程中,可以是字节或是XML等格式。 反序列化:把字节序列恢复为对象的过程,即把可以存储或传输的数据转换为对象的过程。例如将二进制数据流或文件加载到内存中还原为对象。 反序列化漏洞首次出现在2015。虽然漏洞较新,但利用十分热门。主要原因是对用户可控制的数据进行反序列化时,攻击者能够操纵序列化的对象,从而将精心构造的恶意数据传递到应用程序代码中
JBossMQJMS 反序列化漏洞(CVE-2017-7504)漏洞利用工具
07-23
JBossMQJMS 反序列化漏洞(CVE-2017-7504)是针对企业级Java消息服务(JMS)提供商JBossMQ的一个严重安全问题。该漏洞源于应用程序未能正确处理反序列化的对象,使得攻击者可以通过精心构造的恶意输入触发任意代码...
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
struts2反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017
08-28
最后,s2-017(CVE-2017-9791)是2017年的另一个反序列化漏洞,它影响了Struts2的StrutsRequestWrapper类。攻击者可以利用这个漏洞,通过发送恶意的HTTP请求,触发系统的反序列化过程,执行任意代码。 为了应对这些...
反序列化漏洞总结
dreamthe的博客
11-24 3381
1.了解序列化和反序列化 在学习反序列化漏洞之前,需要了解什么是反序列化和序列化,我看到了一个很好的比喻,觉得很适合帮助大家对于两者理解,相信大家都在淘宝买过东西,不知道有没有买过那种小型家具,我有买过鞋柜,商家发货的时候不会将一个完好的鞋柜寄给你,第一因为中途可能会损坏,第二呢就是增加包装成本。所以商家都会将鞋柜所有部件打包寄过来,顾客拿到快递在自己根据安装教程安装好鞋柜。那么这里面就有两个过程,一个是商家将所以部件打包发走,一个是你拿到安装还原。那么序列化就是商家打包过程,反序列化就是将商品还原过程。
[web安全原理]PHP反序列化漏洞
笑花大王
01-26 153
前言 这几天一直在关注新管状病毒,从微博到各大公众号朋友圈了解感觉挺严重的看微博感觉特别严重看官方说法感觉还行那就取中间的吧 自己要会对这个东西要有理性的判断。关注了好两天所以耽搁了学习emmm 希望病毒早点过去吧! 反序列化漏洞 序列化和反序列化 为了有效地存储或传递数据,同时不丢失其类型和结构,经常需要利用序列化和反序列化函数对数据进行处理。 反序列化函数返回字符串,此字符串包含了...
(转)Weblogic之反序列化高危漏洞
w2363075992的博客
05-22 3819
转自:http://www.sohu.com/a/154670296_99890213?qq-pf-to=pcqq.c2c我选择的是第五种方法解决的。一、WebLogic Server Security Alert安全问题描述WebLogic Server反序列化安全漏洞补丁:CVE-2015-4852;Apache Commons Collections 3和4,Groovy,Spring,只要...
WEB漏洞-反序列化之PHP&JAVA全解(上)
xhscxj的博客
02-03 829
PHP 反序列化 原理:未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码 执行,SQL 注入,目录遍历等不可控后果。在反序列化的过程中自动触发了某些魔术方法。当进行 反序列化的时候就有可能会触发对象中的一些魔术方法。 serialize() //将一个对象转换成一个字符串 unserialize() //将字符串还原成一个对象 触发:unserialize 函数的变量可控,文件中存在可利用的类,类中有魔术方法: 参考:https://www.cnblogs.com/2.
反序列化漏洞原理从零学起-小白都能懂反序列化漏洞
silencediors的博客
11-06 1025
前言 鼓起很大的勇气写这篇博文,不想承认我一直以来对反序列化漏洞就是一知半解的事实。其实我一直对反序列化漏洞有个执念,就是在我java这门语言完全不懂的时候我就非要去研究java的各种反序列化,然后把自己逼到一个绝路,大概这个持续时间有一两个月,还是一头雾水。后来我慢慢读代码,不懂的百度,也跟进学习,直到我有一天接触到php反序列化,哦,原来反序列化是这样。记得当时java里面的各种rmi,反射链...
反序列化(强网杯2019—UPLOAD)
kid的博客
05-29 5869
反序列化(强网杯2019—UPLOAD) 前言 这里主要是复现一下强网杯2019web的第一题,UPLOAD。这是一道反序列化的题,反正我觉得挺难的,当时已经锁定了反序列化的方向也没能完成… 感谢大佬提供的复现环境:https://github.com/CTFTraining/qwb_2019_upload UPLOAD 进入靶场后首先是一个登陆注册页面 这里很自然的要想到有没有注入,简单的万能...
彻底解决spring mvc XSS漏洞问题(包括json的格式的入参和出参)
3月3的风筝
05-07 9078
目录 一,背景 二,名词解释 三,xss修复的一般处理方法 四、扩展jackson定制自己的objectMapper处理json出入参的转义 五、结语 一,背景 昨天收到公司安全部的一封漏洞邮件,说系统注册存在xss存储型漏洞,然后看了一下系统中是有xssFilter处理xss漏洞的,但是注册页面xss注入的却没有处理,经过分析代码和网上查找资料,xssFilter只能处理get请求...
requests 可以 scrapy 不行_scrapy-redis 反序列化漏洞
weixin_39885166的博客
12-08 224
bytectf告诉了我,i'm five.1、前言分布式爬取  您可以启动多个spider工程,相互之间共享单个redis的requests队列。最适合广泛的多个域名网站的内容爬取。分布式数据处理  爬取到的scrapy的item数据可以推入到redis队列中,这意味着你可以根据需求启动尽可能多的处理程序来共享item的队列,进行item数据持久化处理Scrapy即插即用组件  Scheduler...
Introduction_to_Insecure_Deserialization.pdf
02-27
确认应用程序使用哪种序列化方法是识别不安全反序列化漏洞的关键步骤。这可能涉及到代码审查、日志分析或利用公开的API接口。理解应用程序的序列化流程和数据流转可以帮助定位潜在的风险点。 **理解应用** 深入理解...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值