JAVA反序列化漏洞防护组件使用

最新推荐文章于 2024-05-24 17:17:52 发布
最新推荐文章于 2024-05-24 17:17:52 发布
阅读量1k 收藏
点赞数
分类专栏: 【Java学习】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhijianhuiyi/article/details/87685387
版权

详情

   通过给默认的java.io.ObjectInputStream添加Class名称黑名单,防止java反序列化漏洞,程序默认自带的类黑名单(JAVA反序列化黑名单类)包含目前已知的所有可以用于构造反序列化调用方法链的类名称。

  

  引入依赖

<dependency>
    <groupId>com.jd.security.codesec</groupId>
    <artifactId>ajdv</artifactId>
    <version>0.1</version>
</dependency>

  

  使用方法

  默认情况下,在进行Java反序列化操作时,使用如下代码,就可以防止反序列化安全漏洞:

ObjectInputStream ois = new SafeObjectInputStream(new FileInputStream("/tmp/xxx"));
Object o = ois.readObject();

  如果需要定制黑名单可以通过如下两种方式

  方法一:自己提供类黑名单,这方式将完全替换程序默认提供的类黑名单

Set<String> classBlackList = new HashSet<String>();
classBlackList.add("com.xxx.xxx.AAA");
classBlackList.add("com.xxx.xxx.BBB");
SafeObjectInputStream ois = new SafeObjectInputStream(new FileInputStream("/tmp/xxx"),classBlackList );
Object o = ois.readObject();

  方法二:添加额外的黑名单,这种方式不会替换程序自带的黑名单,而是在原有黑名单基础之上添加额外的黑名单类

SafeObjectInputStream ois = new SafeObjectInputStream(new FileInputStream("/tmp/xxx") );
ois.addBlackList("com.xxx.xxx.AAA");
ois.addBlackList("com.xxx.xxx.BBB");
Object o = ois.readObject();

  

Melody-董宇飞飞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java反序列化安全漏洞怎么回事?
Firstlucky77的博客
06-21 918
序列化是让Java对象脱离Java运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。Java 序列化是指把 Java 对象转换为字节序列的过程便于保存在内存、文件、数据库中,ObjectOutputStream类的 writeObject() 方法可以实现序列化。反序列化是指把字节序列恢复为 Java 对象的过程,ObjectInputStream 类的 readObject() 方法用于反序列化。序列化和反序列化本身并不存在问题。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构
java安全 反序列化(一)
sechelper的博客
12-07 305
java反序列化基础知识,漏洞成因,案例
java代码审计之浅谈Java反序列化漏洞修复方案
liguangyao213的博客
02-19 4063
java代码审计系统课程--代码审计视频教程-信息安全-CSDN程序员研修院少写“漏洞” 了解常见代码安全 提升代码安全能力 代码不被黑客黑-https://edu.csdn.net/course/detail/32634 概述 序列化是让 Java 对象脱离 Java 运行环境的一种手段,可以有效的实现多平台之间的通信、对象持久化存储。 Java程序使用ObjectInputStream对象的readObject方法将反序列化数据转换为java对象。但当输入的反序列化的数据可被用户控制,那么攻击者即
Java代码审计12之反序列化漏洞的审计与利用
划水的小白白
08-20 588
1、重点函数, 2、漏洞源码 3、利用工具 ysoserial 4、修复漏洞
Apache Dubbo反序列化漏洞
最新发布
YJ_12340的博客
05-24 805
Dubbo是阿里巴巴公司开源的一个高性能优秀的服务框架,使得应用可通过高性能的RPC实现服务的输出和输入功能,可以和Spring框架无缝集成。2020年06月23日, Apache Dubbo 官方发布了Apache Dubbo 远程代码执行的风险通告,该漏洞编号为,漏洞等级:高危。Apache Dubbo是一款高性能、轻量级的开源Java RPC框架,它提供了三大核心能力:面向接口的远程方法调用,智能容错和负载均衡,以及服务自动注册和发现。
Java序列化的作用和反序列化
热门推荐
冯立彬的博客
05-09 1万+
1、序列化是干什么的?   简单说就是为了保存在内存中的各种对象的状态(也就是实例变量,不是方法),并且可以把保存的对象状态再读出来。虽然你可以用你自己的各种各样的方法来保存object states,但是Java给你提供一种应该比你自己好的保存对象状态的机制,那就是序列化。   2、什么情况下需要序列化   a)当你想把的内存中的对象状态保存到一个文件中或者数据库中时候;   b)当你想
ctfshow-web831
lastwinn的博客
07-01 434
记录自己的所学以及理解。
Java反序列化漏洞利用工具.zip
04-10
java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以
Java反序列化漏洞利用工具V1.7.jar
03-25
Java反序列化漏洞利用工具
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
11-11
Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271
Java反序列化漏洞介绍书籍
08-17
专业介绍Java反序列化漏洞知识,攻防技术
JAVA反序列化漏洞知识点整理
01-20
jenkins反序列漏洞跟过一遍之后,虽说梳理清楚了漏洞触发的大体流程,但是对于JAVA反序列化漏洞导致代码执行的原理仍旧不懂,因此有必要整理JAVA反序列化漏洞相关的知识点。  JAVA反序列化漏洞  反序列化漏洞的...
JAVA反序列化漏洞(组件)
nigo134的博客
03-23 2166
weblogic:反序列化 Weblogic在利用T3协议进行远程资源加载调用时,默认会进行黑名单过滤以保证反序列化安全。本漏洞绕过了Weblogic的反序列化黑名单,使攻击者可以通过T3协议对存在漏洞的Weblogic组件实施远程攻击。由于T3协议在Weblogic控制台开启的情况下默认开启,而Weblogic默认安装会自动开启控制台,所以攻击者可通过此漏洞造成远程代码执行,以控制Weblogic服务器。 漏洞检测: 可访问目录 /_async/AsyncResponseService /wls-w
深拷贝 浅拷贝 赋值
weixin_37997371的博客
08-23 161
深拷贝 浅拷贝 赋值 赋值: class Teacher { String name = "王老师"; } class Student{ String name = “小A”; Teacher teacher = new Teacher(); } Student s1 = new Student(); Student s2 = s1; s1 == s2,指向的内存区域相同 拷贝: cla...
Java反序列化漏洞从入门到深入(转载)
07-21 985
前言 学习本系列文章需要的Java基础: 了解Java基础语法及结构(菜鸟教程) 了解Java面向对象编程思想(快速理解请上知乎读故事,深入钻研建议买本《疯狂Java讲义》另外有一个刘意老师的教学视频也可以了解一下,其中关于面向对象思想的介绍比较详细。链接:https://pan.baidu.com/s/1kUGb3D1#list/path=%2F&pare...
Web安全--反序列化漏洞java篇)
bobo_milk的博客
11-29 3063
java反序列化参考
反序列化漏洞-JAVA
acepanhuan的博客
02-22 593
反序列化漏洞-JAVA
(七)java.io.ObjectInputStream类详解
OceanSky的专栏
02-22 1万+
1.public class ObjectInputStream extends InputStream implements ObjectInput, ObjectStreamConstants 分析:ObjectInputStream是将对象的原始数据序列化,ObjectOutputStream将序列化的数据反序列化。当分别使用FileInputStream和FileOutStream做为输...
Java 对象流(ObjectInputStream,ObjectOutputStream)详细解析!!!
m0_51517626的博客
08-31 2025
对象流(ObjectInputStream,ObjectOutputStream) 概述 ObjectInputStream,ObjectOutputStream可以对基本数据类型数据和对象进行存取操作,它的强大之处在于可以将Java中的对象进行存储即序列化与反序列化 序列化:将Java对象存储到与平台无关的二进制文件或通过网络传输到另一个网络节点 使用ObjectOutputStream 反序列化:将Java对象从文件读取到内存中,使用ObjectInputStream Java对象的存取条件 1.对象所
常见的Java反序列化漏洞
05-20
Java反序列化漏洞是指攻击者通过修改序列化对象中的数据,使得反序列化操作返回恶意对象,从而导致应用程序受到攻击的漏洞。常见的Java反序列化漏洞包括: 1. JDK 6u45及以下版本的RMI反序列化漏洞:攻击者可以通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值