网络安全筑基篇——反序列化漏洞

目录

序列化是什么?

反序列化又是什么?

反序列化漏洞的危害

代码样例

常见的魔术方法

修复方式有哪些?

常见的反序列化漏洞

Shiro反序列化漏洞

Fastjson反序列化漏洞


序列化是什么?

将实例化对象转换成字节流的过程

反序列化又是什么?

将字节流转换成实例化对象的过程

反序列化漏洞的危害

反序列化漏洞是一种安全漏洞,其危害主要体现在以下几个方面:

  1. 远程代码执行(Remote Code Execution, RCE): 反序列化漏洞可以被攻击者利用来在目标系统上执行恶意代码。这种代码可以是远程控制命令、窃取敏感数据、修改系统配置等,具有极大的破坏力和危险性。

  2. 拒绝服务攻击(Denial of Service, DoS): 攻击者可能利用反序列化漏洞来导致系统崩溃或服务不可用,例如通过传递恶意序列化数据导致系统资源耗尽或死锁。

  3. 数据篡改和伪造(Data Tampering and Forgery): 攻击者可以利用反序列化漏洞来篡改数据或伪造合法的用户会话,导致系统信任恶意构造的数据或者执行未经授权的操作。

  4. 提升权限(Privilege Escalation): 如果攻击者成功利用反序列化漏洞执行了恶意代码,他们可能会尝试提升其在系统中的权限,获取更高的访问权限,从而进一步危害系统安全。

  5. 敏感信息泄露(Information Disclosure): 反序列化漏洞有可能导致敏感信息泄露,例如通过序列化和反序列化操作中的错误处理机制或日志泄露出敏感数据。

总之,反序列化漏洞的危害不仅限于单一的攻击向量,而是可能对系统的安全性和稳定性造成广泛的影响和破坏。因此,开发者在编写和处理序列化和反序列化代码时,务必要格外小心和谨慎,避免因为这类漏洞而给系统带来安全隐患。

代码样例

import java.io.*;// 定义可序列化的Person类
class Person implements Serializable {private String name;private int age;// 构造函数public Person(String name, int age) {this.name = name;this.age = age;}// 获取姓名public String getName() {return name;}// 获取年龄public int getAge() {return age;}
}public class SerializationExample {// 序列化对象到文件public static void serializeObject(Person obj, String filename) throws IOException {try (FileOutputStream fos = new FileOutputStream(filename);ObjectOutputStream oos = new ObjectOutputStream(fos)) {oos.writeObject(obj);System.out.println("Serialization successful. Object saved to " + filename);}}// 反序列化对象从文件public static Person deserializeObject(String filename) throws IOException, ClassNotFoundException {try (FileInputStream fis = new FileInputStream(filename);ObjectInputStream ois = new ObjectInputStream(fis)) {Person obj = (Person) ois.readObject();System.out.println("Deserialization successful. Object loaded from " + filename);return obj;}}public static void main(String[] args) {String filename = "person.ser"; // 序列化文件名// 创建一个Person对象Person person = new Person("Alice", 30);try {// 序列化对象到文件serializeObject(person, filename);// 从文件反序列化对象Person loadedPerson = deserializeObject(filename);// 打印反序列化后的对象属性System.out.println("Name: " + loadedPerson.getName() + ", Age: " + loadedPerson.getAge());} catch (IOException | ClassNotFoundException e) {e.printStackTrace();}}
}

常见的魔术方法

__sleep()	 	//使用serialize()时触发 
__destruct() 	//对象被销毁时触发,在脚本终止或对象引用计数为0时调用,通常会执行数据清除就或连接断开操作 
__call() 		//在对象上下文中调用不可访问的方法时触发 ,通常用于错误处理,防止脚本因为调用错误而终止执行
__callStatic() 	//在静态上下文中调用不可访问的方法时触发 
__get() 		//用于从不可访问的属性读取数据,通常用于设置和获取对象私有属性
__set() 		//用于将数据写入不可访问的属性,通常用于设置和获取对象私有属性
__isset() 		//在不可访问的属性上调用isset()或empty()触发 
__unset() 		//在不可访问的属性上使用unset()时触发 
__invoke() 		//当脚本尝试将对象调用为函数时触发
__clone()       //当把一个对象赋给另一个对象时自动调用
__wakeup()		//unserialize函数会检查是否存在wakeup方法,如果存在则先调用wakeup方法,做一些必要的初始化连数据库等操作
__construct() 	//PHP5允许在一个类中定义一个方法作为构造函数。具有构造函数的类会在每次创建新对象时先调用此方法
__destruct()	  //PHP5引入析构函数的概念,析构函数会在到某个对象的所有引用都被删除或者当对象被显式销毁时执行
__toString()	  //用于一个类被当成字符串时应怎样回应。例如 echo $obj; 应该显示些什么。此方法必须返回一个字符串,否则将发出一条 E_RECOVERABLE_ERROR 级别的致命错误

修复方式有哪些?

  • 验证和过滤输入:在执行反序列化之前,对用户输入数据执行验证和过滤。
  • 使用安全的序列化方法:避免使用 PHP 的不安全序列化方法(例如,unserialize()),而是使用更安全的替代方法,如 JSON 或XML 序列化/反序列化。
  • 序列化和反序列化的白名单验证:限制反序列化操作的类范围,可创建一个白名单,只允许指定的类A执行反序列化,或者创建一个黑名单,禁止一些危险的类执行反序列化。以限制攻击方能够执行的恶意代码。

常见的反序列化漏洞

Shiro反序列化漏洞

Shiro < 1.2.4版本会存在此漏洞,挖掘的时候删除请求包中的rememberMe参数,返回包中包含rememberMe=deleteMe字段。说明使用了shiro组件,可以尝试此漏洞。

如果返回包无此字段,可以通过在发送数据包的cookie中增加字段:****rememberMe=,然后查看返回数据包中是否存在关键字

此漏洞有两个版本利用方式,

Shiro550:不需要提供秘钥,使用默认秘钥就可以利用

Shiro721:先爆破秘钥,成功后可以进一步利用

Fastjson反序列化漏洞

Fastjson提供了反序列化功能,允许用户在输入JSON串时通过“@type”键对应的value指定任意反序列化类名,由此造成反序列化漏洞;

漏洞挖掘方式:如果请求包中出现http头Accept:application/json,怀疑存在fastjson组件,构造报错,返回包中出现fastjson时,确认使用了fastjson组件,可以尝试此漏洞

Fastjson从1.2.24到1.2.67多个版本存在此漏洞,如果没有回显版本,可以将以下payload,挨个替换到请求内容,尝试是哪个版本的漏洞

  • {"@type":"java.net.InetSocketAddress"{"address":,"val":"aaa.dnslog.cn"}}
  • {"@type":"java.net.Inet4Address","val":"aaa.dnslog.cn"}
  • {"@type":"java.net.Inet6Address","val":"aaa.dnslog.cn"}
  • {"@type":"com.alibaba.fastjson.JSONObject",{"@type":"java.net.URL", "val":"http://aaa.dnslog.cn"}}""}
  • Set[{"@type":"java.net.URL","val":"http://aaa.dnslog.cn"}]
  • Set[{"@type":"java.net.URL","val":"http://aaa.dnslog.cn"}
  • {{"@type":"java.net.URL","val":"http://aaa.dnslog.cn"}:

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/36585.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Harmony OS UI框架探索笔记

本文探讨了如何将现有的常用架构理论与Arkts和ArkUI结合起来&#xff0c;使代码更有条理&#xff0c;并利用Previewer快速调整布局&#xff0c;同时在不改变代码的情况下运行显示真实数据。 开发环境 Windows 11DevEco Studio 4.0 ReleaseBuild Version: 4.0.0.600, built on…

机器人控制系列教程之URDF自动生成工具

URDF文件的编写较为复杂&#xff0c;ROS官方提供了URDF的SolidWorks插件&#xff0c;可方便地将 SW 零件和装配体导出为 URDF 文件。导出器将创建一个类似 ROS 的软件包&#xff0c;其中包含网格、纹理和机器人&#xff08;URDF 文件&#xff09;目录。对于单一的 SolidWorks 零…

API-回调函数

学习目标&#xff1a; 掌握回调函数 学习内容&#xff1a; 回调函数小结综合案例 回调函数&#xff1a; 如果将函数A做为参数传递给函数B时&#xff0c;我们称函数A为回调函数。 简单理解&#xff1a;当一个函数当作参数来传递给另外一个函数的时候&#xff0c;这个函数就是…

遗传编程(Genetic Programming, GP)和大规模语言模型(Large Language Models, LLMs)的相似之处

遗传编程&#xff08;Genetic Programming, GP&#xff09;和大规模语言模型&#xff08;Large Language Models, LLMs&#xff09;虽然在实现和用途上有所不同&#xff0c;但也有一些相似之处&#xff1a; 相似之处 自动化生成&#xff1a; GP&#xff1a;自动生成程序或表达…

DM达梦数据库函数分析(与oracle相应函数区别及用法分析)

💝💝💝首先,欢迎各位来到我的博客,很高兴能够在这里和您见面!希望您在这里不仅可以有所收获,同时也能感受到一份轻松欢乐的氛围,祝你生活愉快! 💝💝💝如有需要请大家订阅我的专栏【数据库系列】哟!我会定期更新相关系列的文章 💝💝💝关注!关注!!请…

Python生成图形验证码

文章目录 安装pillow基本用法生成代码 安装pillow pip install pillow 基本用法 特殊字体文字 如下所示&#xff0c;将下载下来的ttf字体文件放到py文件同一文件夹下 分享一个免费下载字体网站&#xff1a;http://www.webpagepublicity.com/free-fonts.html 我选的字体是Baj…

探索AI的巅峰:详解GPT-3.5与GPT-4系列模型的区别

人工智能领域不断涌现出令人惊叹的技术突破&#xff0c;其中OpenAI的ChatGPT系列模型尤为引人注目。随着GPT-4的发布&#xff0c;技术开发者们对比分析其与前一代GPT-3.5的差异显得尤为重要。本文将深入探讨GPT-3.5和GPT-4系列模型的主要区别&#xff0c;帮助大家更好地理解和应…

Linux 基于sqlite3数据库的学生管理系统

一、数据库 sqlite官网&#xff1a;www.sqlite.org 1.1 数据库的安装 离线安装&#xff1a; sudo dpkg -i sqlite3_3.22.0-1ubuntu0.4_amd64.deb //数据库软件 sudo dpkg -i libsqlite3-dev_3.22.0-1ubuntu0.4_amd64.deb //数据库的库函数 在线安装&#xff1a; sudo apt-get …

推荐系统三十六式学习笔记:原理篇.模型融合13|经典模型融合办法:线性模型和树模型的组合拳

目录 为什么要融合&#xff1f;“辑度组合”原理逻辑回归梯度提升决策树GBDT二者结合 总结 推荐系统在技术实现上一般划分为三个阶段&#xff1a;挖掘、召回、排序 。 为什么要融合&#xff1f; 挖掘的工作是对用户和物品做非常深入的结构化分析&#xff0c;各个角度各个层面…

MySQL之可扩展性(六)

可扩展性 向外扩展 12.重新均衡分片数据 如有必要&#xff0c;可以通过在分片间移动数据来达到负载均衡。举个例子&#xff0c;许多读者可能听一些大型图片分享网站或流行社区网站的开发者提到过用于分片间移动用户数据的工具。在分片间移动数据的好处很明显。例如&#xff…

学生表的DDL和DML

DDL -- 创建学生表 CREATE TABLE students (student_id INT PRIMARY KEY AUTO_INCREMENT,studentname VARCHAR(50),age INT,gender VARCHAR(10) );-- 创建课程表 CREATE TABLE courses (course_id INT PRIMARY KEY AUTO_INCREMENT,course_name VARCHAR(50) );-- 创建教师表 CR…

鸿蒙开发设备管理:【@ohos.batteryInfo (电量信息)】

电量信息 该模块主要提供电池状态和充放电状态的查询接口。 说明&#xff1a; 本模块首批接口从API version 6开始支持。后续版本的新增接口&#xff0c;采用上角标单独标记接口的起始版本。 导入模块 import batteryInfo from ohos.batteryInfo;属性 描述电池信息。 系统能…

NLP经典论文研读--xlnet论文代码复现记录

xlnet源码解读(简易pytorch实现版本) xlnet这个模型还是相当复杂的&#xff0c;我看了很长一段时间也还是有很多地方没有搞明白&#xff0c;最后又在网上搜了很多大佬写的相关博客&#xff0c;才算是大致弄明白了&#xff0c;想了解xlnet的原理&#xff0c;请参考原论文&#…

(2024,RNN,梯度消失和爆炸,记忆诅咒,重参数化和动态学习率,权重矩阵对角化,复值 RNN)梯度消失和爆炸并不是故事的结局

Recurrent neural networks: vanishing and exploding gradients are not the end of the story 公和众与号&#xff1a;EDPJ&#xff08;进 Q 交流群&#xff1a;922230617 或加 VX&#xff1a;CV_EDPJ 进 V 交流群&#xff09; 目录 0. 摘要 1. 梯度消失和梯度爆炸 2. 记…

%运算符

自学python如何成为大佬(目录):https://blog.csdn.net/weixin_67859959/article/details/139049996?spm1001.2014.3001.5501 语法介绍 在python中&#xff0c;可以使用%运算符进行灵活多样的格式化处理&#xff0c;通用的语法格式为&#xff1a; &#xff08;格式模板&…

【面试系列】C#高频面试题

欢迎来到我的博客&#xff0c;很高兴能够在这里和您见面&#xff01;欢迎订阅相关专栏&#xff1a; ⭐️ 全网最全IT互联网公司面试宝典&#xff1a;收集整理全网各大IT互联网公司技术、项目、HR面试真题. ⭐️ AIGC时代的创新与未来&#xff1a;详细讲解AIGC的概念、核心技术、…

面试突击:ArrayList源码详解

本文已收录于&#xff1a;https://github.com/danmuking/all-in-one&#xff08;持续更新&#xff09; 前言 哈喽&#xff0c;大家好&#xff0c;我是 DanMu。ArrayList 是我们日常开发中不可避免要使用到的一个类&#xff0c;并且在面试过程中也是一个非常高频的知识点&#…

<Linux> 实现命名管道多进程任务派发

实现命名管道多进程任务派发 common文件 #ifndef _COMMON_H_ #define _COMMON_H_#pragma once #include <iostream> #include <unistd.h> #include <string> #include <sys/types.h> #include <sys/stat.h> #include <wait.h> #include &…

机器人控制系列教程之URDF文件语法介绍

前两期推文&#xff1a;机器人控制系列教程之动力学建模(1)、机器人控制系列教程之动力学建模(2)&#xff0c;我们主要从数学的角度介绍了机器人的动力学建模的方式&#xff0c;随着机器人技术的不断发展&#xff0c;机器人建模成为了机器人系统设计中的一项关键任务。URDF&…

ZSWatch 开源项目介绍

前言 因为时不时逛 GitHub 会发现一些比较不错的开源项目&#xff0c;突发奇想想做一个专题&#xff0c;专门记录开源项目&#xff0c;内容不限于组件、框架以及 DIY 作品&#xff0c;希望能坚持下去&#xff0c;与此同时&#xff0c;也会选取其中的开源项目做专题分析。希望这…