OWASP--08反序列化漏洞

最新推荐文章于 2024-01-23 20:51:36 发布
最新推荐文章于 2024-01-23 20:51:36 发布
阅读量477 收藏
点赞数
分类专栏: Web安全 文章标签: 小笔记
原文链接:http://www.sohu.com/a/207544495_653604
版权

2017-08不安全的反序列化

不安全的反序列化会导致远程代码执行。即使反序列化缺陷不会导致远程代码执行,攻击者也可以利用它们来执行攻击,包括:重播攻击、注入攻击和特权升级攻击。

应用程序脆弱吗?

如果反序列化进攻者提供的敌意或者篡改过的对象将会使将应用程序和API变的脆弱。

两种主要类型的攻击:

1111111 如果应用中存在可以在反序列化过程中或者之后被改变行为的类,则攻击者可以通过改变应用逻辑或者实现远程代码执行攻击。我们将其称为对象和数据结构攻击。

222222 典型的数据篡改攻击,如访问控制相关的攻击,其中使用了现有的数据结构,但内容发生了变化。

序列化应用的对象:

远程和进程间通信(RPC / IPC)

连线协议、Web服务、消息代理

缓存/持久性

数据库、缓存服务器、文件系统

HTTP cookie、HTML表单参数、API身份验证令牌

防御

唯一安全的架构模式是:
不接受来自不受信源的序列化对象,或使用只允许原始数据类型的序列化媒体。

如果上述不可能的话,考虑使用下述方法:

1111111执行完整性检查,如:任何序列化对象的数字签名,以防止恶意对象创建或数据篡改。

222222在创建对象之前强制执行严格的类型约束,因为代码通常被期望成一组可定义的类。绕过这种技术的方法已经被证明,所以完全依赖于它是不可取的。

333333如果可能,隔离运行那些在低特权环境中反序列化的代码。

444444记录反序列化的例外情况和失败信息,如:传入的类型不是预期的类型,或者反序列处理引发的例外情况。

555555限制或监视来自于容器或服务器传入和传出的反序列化网络连接。

666666监控反序列化,当用户持续进行反序列化时,对用户进行警告。

攻击案例场景

**场景#1:**一个React应用程序调用了一组Spring Boot微服务。作为功能性程序员,他们试图确保他们的代码是不可变的。他们提出的解决方法是序列化用户状态,并在每次请求时来回传递。攻击者注意到了“R00”Java对象签名,并使用Java Serial Killer工具在应用服务器上获得远程代码执行。

**场景#2:**一个PHP论坛使用PHP对象序列化来保存一个“超级”cookie。该cookie包含了用户的用户ID、角色、密码哈希和其他状态:

a:4:{i:0;i:132;i:1;s:7:"Mallory";i:2;s:4:"user";

i:3;s:32:"b6a8b3bea87fe0e05022f8f3c88bc960";}

攻击者更改序列化对象以授予自己为admin权限:

a:4:{i:0;i:1;i:1;s:5:"Alice";i:2;s:5:"admin";

i:3;s:32:"b6a8b3bea87fe0e05022f8f3c88bc960";}

梦想成为安全大佬的男人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP反序列化漏洞——漏洞原理及防御措施
cldimd的博客
03-20 6679
序列化 将对象转换成字符串 反序列化 将特定格式的字符串转换成对象 什么是反序列化漏洞 PHP反序列化漏洞也叫PHP对象注入,是一个非常常见的漏洞,这种类型的漏洞虽然有些难以利用,但一旦利用成功就会造成非常危险的后果。漏洞的形成的根本原因是程序没有对用户输入的反序列化字符串进行检测,导致反序列化过程可...
(十五)不安全的反序列化
weixin_43047908的博客
04-18 2792
目录什么是序列化?序列化与反序列化什么是不安全的反序列化?不安全的反序列化漏洞如何产生?不安全的反序列化有何影响?如何利用不安全的反序列化漏洞如何识别不安全的反序列化PHP序列化格式Java序列化格式操作序列化对象修改对象属性修改数据类型如何防止不安全的反序列化漏洞 什么是序列化? 序列化是将复杂的数据结构(例如对象及其字段)转换为“更扁平”格式的过程,该格式可以作为顺序的字节流发送和接收。序列化数据使其更容易: 将复杂数据写入进程间内存,文件或数据库 例如,通过网络,在应用程序的不同组件之间或在API调用
不安全的反序列化
qq_45953122的博客
09-25 431
为什么要序列化?序列化,“将对象的状态信息转换为可以存储或传输的形式的过程”,这种形式⼤多为字节流、字符串、json 串。在序列化期间内,将对象当前状态写⼊到临时或永久性的存储区。以后,就可以通过从存储区中读取或还原(反序列化)对象的状态,重新创建该对象。简单的说,序列化就是把一个对象变成可以传输的字符串,可以以特定的格式在进程之间跨平台安全的进⾏通信。
【WEB安全】不安全的反序列化
最新发布
dzqxwzoe的博客
01-23 913
序列化和反序列化是指用于将对象或数据结构转换为字节流的过程,以便在不同系统之间进行传输或存储,并在需要时重新构造。**序列化是指将对象或数据结构转换为字节流的过程。**在序列化过程中,对象的状态和数据被转换为一系列字节,这些字节可以按照一定的协议进行传输或存储。序列化通常用于将对象存储到磁盘或通过网络发送到其他系统。序列化后的字节流可以被保存下来,以后可以通过反序列化操作重新构建对象并恢复其状态和数据。**反序列化是指将序列化后的字节流转换回对象或数据结构的过程。
反序列化漏洞汇总
热门推荐
weixin_29324013的博客
07-03 4万+
反序列化漏洞汇总1、概述序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java 序列化是指把 Java 对象转换为字节序列的过程,便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类...
OWASP-A8:示例代码演示了前10-2017 A8-不安全反序列化漏洞类别
05-15
这个简单的Web应用程序反序列化用户提供的数据。 预期的行为是用户将提交类的base64编码的序列化实例。警告运行此Web应用程序将使您暴露于严重的远程执行代码漏洞中。 不要公开应用程序服务器,而只能在本地,...
OWASP-TOP10-2021 最新中文版V1.0.pdf
12-26
OWASP-TOP10-2021中文版V1.0.pdf
OWASP-GoatDroid-0.9
07-17
OWASP-GoatDroid-0.9 OWASP-GoatDroid-0.9 OWASP-GoatDroid-0.9
OWASP-WebScarab-master_owasp_
10-01
owasp library source
OWASP-AMASS:OWASP-AMASS原始分析
03-23
OWASP-AMASS OWASP-AMASS原始分析目录分析整个项目的Go代码大约25039行并不是太大就一个模块一个模块的看.├── alterations│ ├── alterations.go│ └── markov.go├── cmd 程序 入口 通过os.args[1]...
ysoserial,用于生成利用不安全Java对象反序列化的有效负载的概念验证工具。.zip
10-13
用于生成利用不安全Java对象反序列化的有效负载的概念验证工具。
应用安全系列之二十五:不安全的反序列化
jimmyleeee的专栏
04-07 1410
序列化过程是将一个对象转换成一种数据格式以有利于存储或者传输。而反序列化则是一个相反的过程,把一定格式的数据转变成一个对象。比较流行的数据格式包括:XML,JSON。 这种反序列化过程,当出现输入的数据可以被篡改或者控制时,他可以用于发起攻击,攻击的结果包括但不限于:DOS、访问控制、以及RCE等。 DOS攻击 以Java语言为例,如果构造的一个对象里有一个数组对象,而数组对象的大小被改为整形的最大值,就会导致在反序列化时,分配一个超大的数组,进而导致OutOfMemoryError 错误。 访问控
序列化与反序列化(Protocol buff 与 Java序列化协议的比较)
worn_xiao的博客
12-08 268
1. 什么是序列化与反序列化? 序列化就是将代码中的对象的某一个状态转化成字节数组的过程,也就是转化成二进制文件的过程。反序列化与之相反。 2. 为什么要进行序列化? 在将对象存储在文件中或者通过网络进行传输的时候,对象是不能直接存储和传输的,所以要将它序列化为对应的二进制代码。 3. 实现序列化的常用方式有哪些? 使用Java的序列化协议(实现Ser...
【序列化】UNSAFE_DESERIALIZATION 不安全的反序列化反序列化漏洞
m0_45406092的博客
08-21 6476
Unsafe Deserialization 进行代码检查时,Coverity工具在进行json转换时,报Unsafe Deserialization错误,字面意思是不安全的反序列化,根本原因就是反序列化会有漏洞导致的。 看完下文反序列化漏洞的原理后,我们就知道该如何解决这个问题了。 反序列化漏洞 ...
【Java】IO操作之对象序列化及反序列化
欲买桂花同载酒,终不似,少年游。
07-27 1684
对象序列化的概念 对象序列化使得一个程序可以把一个完整的对象写到一个字节流里面;其逆过程则是从一个字节流里面读出一个事先存储在里面的完整的对象,称为对象的反序列化。 将一个对象保存到永久存储设备上称为持续性。对象的序列化即可实现持续性。 一个对象要想能够实现序列化,必须实现  Serializable 接口或 Externalizable 接口。 对象序列化的作用 一、对象序列化可以
OWASP top10(OWASP十大应用安全风险)之A8 不安全的反序列化 (Insecure Deserialization
qq_39682037的博客
03-18 3199
TOP8不安全的反序列化 (Insecure Deserialization) 注意:OWASP Top 10指出,此安全风险是由行业调查添加的,并非基于可量化的数据研究。 每个Web开发人员都需要使攻击者/安全研究人员尝试使用与应用程序交互的所有内容(从URL到序列化对象)的事实,使和平。 在计算机科学中,对象是数据结构。换句话说,一种构造数据的方式。为了更容易理解一些关键概念: 序列化的过程...
JAVA反序列化安全
c0c0cf的专栏
09-15 6155
微信公众号:DebugPwn 新浪微博: http://weibo.com/u/2275304001/home?wvr=5 漏洞简介: 反序列化漏洞有十年的历史,存在于不同的编程语言中,最为明显的当属Java、PHP、Python、Ruby。漏洞的本质就是反序列化机制打破了数据和对象的边界,导致攻击者注入的恶意序列化数据在反序列化过程中被还原成对象,
不安全的反序列化_PHP编码安全:避免反序列化漏洞
weixin_39962341的博客
12-11 158
一次性付费进群,长期免费索取教程,没有付费教程。进微信群回复公众号:微信群;QQ群:460500587教程列表见微信公众号底部菜单 |本文底部有推荐书籍微信公众号:计算机与网络安全ID:Computer-network反序列化漏洞也称为对象注入漏洞,即恶意攻击者利用PHP的对象序列化和反序列化进行攻击,将恶意数据注入PHP的代码中进行执行的漏洞。在PHP中使用serialize...
InsecureDeserialization(不安全的反序列化
打代码的小女孩
12-23 2431
什么是反序列化? 有些时候我们需要把应用程序中的数据以另一种形式进行表达,以便于将数据存储起来,并在未来某个时间点再次使用,或者便于通过网络传输给接收方。这一过程我们把它叫做序列化。典型的例子是,用户数据被序列化后存储到数据库中,另一个例子是在Stateless架构下,用户登陆后的身份数据被序列化存储到了浏览器中。 反序列化和序列化是两个正好相反的过程。当我们要再次使用这些数据的时候,应用程序读...
反序列化漏洞属于OWASP TOP10漏洞
10-22
是的,反序列化漏洞属于OWASP TOP10漏洞之一。它是指攻击者利用Java反序列化机制中的漏洞,将恶意数据注入到应用程序中,从而导致应用程序受到攻击。攻击者可以通过反序列化漏洞来执行任意代码、获取敏感信息、绕过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值