反序列化漏洞详解

最新推荐文章于 2024-07-08 15:07:06 发布
最新推荐文章于 2024-07-08 15:07:06 发布
阅读量1.4w 收藏 116
点赞数 12
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xcxhzjl/article/details/121408031
版权

目录

一、反序列化漏洞原理

1、相关概念

2、序列化出现场景

3、反序列化攻击分类

4、危害

5、序列化与反序列化过程

二、常用的魔术方法

三、反序列化漏洞的防御

一、反序列化漏洞原理

1、相关概念

序列化(Serialization):将对象的状态信息转换为可以存储或传输的形式的过程,一般将对象转换为字节流。序列化时,对象的当前状态被写入到临时或持久性存储区(文件、内存、数据库等)。

反序列化(Deserialization):从序列化的表示形式中提取数据,即把有序字节流恢复为对象的过程

反序列化攻击:攻击者控制了序列化后的数据,将有害数据传递到应用程序代码中,发动针对应用程序的攻击。

2、序列化出现场景

●远程和进程间通信(RPC/IPC)

●连线协议、Web服务、消息代理

●缓存/持久性存储区

●数据库、缓存服务器、文件系统

●HTTP cookie、HTML表单参数、API身份验证令牌

3、反序列化攻击分类

●对象和数据结构攻击:应用中存在反序列化过程中或者之后被改变行为的类

●数据篡改攻击:使用了当前序列化的数据结构,但是内容被改编

4、危害

●远程代码执行,如:system(‘whoami’)、system(‘cat/etc/passwd’)等

●重放攻击

●注入

●特权提升

5、序列化与反序列化过程

例:

<?php
class demo {
   private $pv= 'private';
   protected $pt = 'protected'; 
   public $pb= 'public';
   public function set_pv ($pv) {
      $this->pv=$pv;
   }
   public function get_pv(){
      return $this->pv;
   }
}
$object = new demo() ;
$object->set_pv ('newprivate') ; 
$data = serialize ($object) ;   //1句
echo $data;
$object_de=unserialize ($data); //2句
?>
//serialize()和unserialize()是实现序列化和反序列化的两个函数

这段代码定义了一个demo类,并通过serialize()将其序列化。执行该段代码,1句执行后将得到如下序列化后的数据:

O:4:"demo":3:{s:8:"demopv";s:10:"newprivate";s:5:"*pt";s:9:"protected";s:2:"pb";s:6:"public";}
//O:表示这是一个对象
//4:对象名占4个字符
//"demo":对象名
//3:对象有三个属性

2句将会把序列化后的数据还原为对象。serialize()和unserialize()函数本身没有问题。反序列化漏洞之所以发生是在传给unserialize()的参数可控时,用户就可以注入精心构造的数据。当进行反序列化时就可能会触发对象的一些魔术方法,造成代码执行等危害。

二、常用的魔术方法

魔术方法(Magic Method)就是指所有以__(两个下划线)开头的类的方法。在某些条件下自动执行会导致反序列化漏洞。在PHP中常见的魔术方法有如下这些:

__sleep()	 	//使用serialize()时触发 
__destruct() 	//对象被销毁时触发,在脚本终止或对象引用计数为0时调用,通常会执行数据清除就或连接断开操作 
__call() 		//在对象上下文中调用不可访问的方法时触发 ,通常用于错误处理,防止脚本因为调用错误而终止执行
__callStatic() 	//在静态上下文中调用不可访问的方法时触发 
__get() 		//用于从不可访问的属性读取数据,通常用于设置和获取对象私有属性
__set() 		//用于将数据写入不可访问的属性,通常用于设置和获取对象私有属性
__isset() 		//在不可访问的属性上调用isset()或empty()触发 
__unset() 		//在不可访问的属性上使用unset()时触发 
__invoke() 		//当脚本尝试将对象调用为函数时触发
__clone()       //当把一个对象赋给另一个对象时自动调用
__wakeup()		//unserialize函数会检查是否存在wakeup方法,如果存在则先调用wakeup方法,做一些必要的初始化连数据库等操作
__construct() 	//PHP5允许在一个类中定义一个方法作为构造函数。具有构造函数的类会在每次创建新对象时先调用此方法
__destruct()	  //PHP5引入析构函数的概念,析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行
__toString()	  //用于一个类被当成字符串时应怎样回应。例如 echo $obj; 应该显示些什么。此方法必须返回一个字符串,否则将发出一条 E_RECOVERABLE_ERROR 级别的致命错误

三、反序列化漏洞的防御

●最有效的方法是不接受来自不受信任源的序列化对象或者只使用原始数据类型的序列化,但这不容易实现。

●完整性检查,如:对序列化对象进行数字签名,以防止创建恶意对象或序列化数据被篡改。

●在创建对象前强制执行类型约束,因为用户的代码通常被期望使用一组可定义的类。

●记录反序列化的失败信息。比如传输的类型不满足预期要求或者反序列化异常情况,因为这有可能是攻击者的攻击尝试。

趣多多代言人
关注
  • 12
    点赞
  • 116
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
PHP反序列化漏洞.pdf
08-10
一、认识漏洞 二、利用方式 三、分析实践
JAVA反序列化漏洞知识点整理
01-20
jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA反序列化漏洞相关的知识点。   JAVA反序列化漏洞   反序列化漏洞的本质是反序列化机制打破了数据和对象的边界,导致攻击者注入的恶意序列化数据在反序列化过程中被还原成对象,控制了对象可能在目标系统上面执行攻击代码,而不可信的输入和未检测反序列化对象的安全性是导致反序列化漏洞的常见原因。Java序列化常应用于RMI(Java Remote Method Invocatio, 远程方法调用), JMX(Java Management Exten
反序列化漏洞原理、成因、危害、攻击、防护、修复方法
qingkahui24689的博客
06-01 955
反序列化漏洞是一种安全漏洞,它允许攻击者将恶意代码注入到应用程序中。这种漏洞通常发生在应用程序从不安全的来源反序列化数据时。当应用程序反序列化数据时,它将数据从一种格式(例如JSON或XML)转换为另一种格式(例如对象或列表)。如果应用程序不检查数据的安全性,攻击者就可以将恶意代码注入到数据中。当应用程序反序列化数据时,恶意代码就会被执行,这可能导致应用程序被攻陷。
【网络安全---漏洞复现】shiro550反序列化漏洞原理漏洞复现和利用(基于vulhub,保姆级的详细教程)
m0_67844671的博客
09-21 4482
shiro550反序列化漏洞原理漏洞复现和利用(基于vulhub,保姆级的详细教程);Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序;
快速吃透反序列化漏洞的根本原理,搞懂攻击本质原理
最新发布
qq_38140936的博客
07-08 996
BadAttributeValueExpException的readObject方法任意命令行执行反射攻击链对象关系图:ClassPathXmlApplicationContext的构造方法任意命令行执行(远程加载bean配置文件)Jackson的enableDefaultTyping(默认类型处理)功能、Spring bean远程加载/依赖注入/属性动态初始化功能ScriptEngineManager的构造方法远程任意代码执行Java SPI。
反序列化漏洞攻击原理(Dubbo反序列化漏洞剖析)
热门推荐
跳小闹成长记
02-22 1万+
目录 一、前言 二、序列化与反序列化简介 三、反序列化怎样才会被利用? 1、说明 2、关键类说明-Transformer 3、关键类说明-TransformedMap 4、关键类说明-AnnotationInvocationHandler 5、攻击原理 6、攻击代码简介 四、Dubbo反序列化漏洞剖析 1、Dubbo的漏洞简介 2、漏洞复现步骤 3、如何解决漏洞 五、更...
反序列化漏洞
Dasdwer的博客
04-05 485
序列化就是把对象转换成字节流,便于保存在内存、文件、数据库中;反序列化即逆过程,由字节流还原成对象。Java中的ObjectOutputStream类的writeObject()方法可以实现序列化,类ObjectInputStream类的readObject()方法用于反序列化。比如你可以将字符串对象先进行序列化,存储到本地文件,然后再通过反序列化进行恢复。
反序列化漏洞原理详解
kali_Ma的博客
12-18 2723
Apache shiro简介 Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。 本文针对Shiro进行了一个原理性的讲解,从源码层面来分析了Shiro的认证和授权的整个流程,并在认证与授权的这个流程讲解冲,穿插说明rememberme的作用,以及为何该字段会导致反序列化漏洞。 Apache shiro认证 在该小节中我们将会详细讲解Shiro是
PHP反序列化漏洞详解.rar
02-07
在IT安全领域,PHP反序列化漏洞是一种常见的安全隐患,尤其在Web应用开发中。这个话题在CTF(Capture The Flag)网络安全竞赛中也常被用作挑战,因为理解和利用这种漏洞需要深入理解PHP语言和其内部工作原理。下面将...
CVE-2017-10271 Weblogic反序列化漏洞补丁(FMJJ) 自己已经打上补丁了。欢迎下载
02-24
**CVE-2017-10271漏洞详解:** 此漏洞主要存在于WebLogic WLS Core Components组件的`weblogic.utils.classloaders.GenericClassLoader`类中。在处理HTTP请求时,该类不正确地处理了反序列化的数据,没有进行足够的...
CVE-2020-14644 iiop反序列化漏洞分析1
08-03
《CVE-2020-14644:WebLogic IIOP反序列化漏洞详解》 CVE-2020-14644是一个针对Oracle WebLogic Server的严重安全漏洞,它涉及到IIOP(Internet Inter-ORB Protocol)协议中的反序列化问题。此漏洞主要影响了Oracle...
信息安全_Android反序列化漏洞分析.2.pptx
08-14
《Android反序列化漏洞分析详解》 Android操作系统作为全球最广泛使用的移动平台,其安全性备受关注。本篇文章将深入探讨Android中的反序列化漏洞,包括Android序列化的基本概念、两个典型的漏洞CVE-2014-7911和CVE...
Java 反序列化攻击
m0_62571837的博客
01-21 436
漏洞由FoxGlove 的最近的一篇博文爆出,该漏洞可以被黑客利用向服务器上传恶意脚本,或者远程执行命令。 由于目前发现该漏洞存在于 Apache commons-collections, Apache xalan 和 Groovy 包中,也就意味着使用了这些包的服务器(目前发现有WebSphere, WebLogic,JBoss),第三方框架(Spring,Groovy),第三方应用(Jenkins),以及依赖于这些服务器,框架或者直接/间接引用这些包的应用都会受到威胁,这样的应用的数量会以百万计。
java反序列漏洞原理分析及防御修复方法
m0_38103658的博客
09-06 1万+
Java反序列化漏洞原理 谈起java反序列化漏洞,相信很多人都不会陌生,这个在2015年首次被爆出的漏洞,几乎横扫了包括Weblogic、WebSphere、JBoss、Jenkins等在内的各大java web server,历经几年的发展变种,各种语言工具依次爆出存在可利用的反序列化漏洞。 具全网分析以及shodan扫描显示,时至今日,在全球范围内的公网上大约有136,818台服务器依...
【代码扫描修复】不安全反序列化攻击(高危)
ACGkaka的博客
11-07 1863
【代码扫描修复】不安全反序列化攻击(高危)
weblogict3反序列化漏洞
12-05
WebLogic T3协议是WebLogic Server的默认协议,用于客户端与服务器之间的通信。WebLogic T3反序列化漏洞是一种Java反序列化漏洞,攻击者可以利用该漏洞在未授权的情况下远程执行任意代码。攻击者可以通过发送精心构造的序列化对象来利用此漏洞,从而导致服务器上的代码执行。以下是利用WebLogic T3反序列化漏洞的攻击过程: 1. 攻击者通过信息收集获取WebLogic Server的版本信息和WebLogic T3协议的端口号。 2. 攻击者使用Java反序列化漏洞利用工具构造恶意序列化对象。 3. 攻击者向WebLogic Server发送恶意序列化对象。 4. WebLogic Server接收到恶意序列化对象后,会自动反序列化该对象并执行其中的恶意代码。 为了防止WebLogic T3反序列化漏洞的攻击,建议您采取以下措施: 1. 及时更新WebLogic Server的补丁程序,以修复已知的漏洞。 2. 禁用WebLogic T3协议,或者限制WebLogic T3协议的访问权限。 3. 对WebLogic Server进行安全加固,包括但不限于限制访问权限、加强身份认证、加密通信等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

趣多多代言人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值