溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關Java序列化和反序列化出現漏洞的解決方案,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。
Java序列化
Java 提供了一種對象序列化的機制,該機制中,一個對象可以被表示為一個字節序列,該字節序列包括該對象的數據、有關對象的類型的信息和存儲在對象中數據的類型。
Java反序列化
反序列化就是將字節序列恢復為Java對象的過程
整個過程都是 Java 虛擬機(JVM)獨立的,也就是說,在一個平臺上序列化的對象可以在另一個完全不同的平臺上反序列化該對象,因此可以實現多平臺之間的通信、對象持久化存儲,主要有如下幾個應用場景。
HTTP:多平臺之間的通信,管理等
RMI:是 Java 的一組擁護開發分布式應用程序的 API,實現了不同操作系統之間程序的方法調用。值得注意的是,RMI 的傳輸 100% 基于反序列化,Java RMI 的默認端口是1099端口。
JMX:JMX 是一套標準的代理和服務,用戶可以在任何 Java 應用程序中使用這些代理和服務實現管理,中間件軟件 WebLogic 的管理頁面就是基于 JMX 開發的,而 JBoss 則整個系統都基于 JMX 構架。
系列化反序列化基礎
序列化和反序列化本身并不存在問題。但當輸入的反序列化的數據可被用戶控制,那么攻擊者即可通過構造惡意輸入,讓反序列化產生非預期的對象,在此過程中執行構造的任意代碼。
一個類的對象能夠序列化的成功需要兩個條件
漏洞基本原理
簡單的反序列化Demo
首先定義對象類Persion,包含兩個參數
public class implements java.io.Serializable{
public String name;
public int age;
public void info(){
System.out.println("Name:"+this.name+";nAge:"+this.age);
}
}在主類中聲明對象,并且將對象序列化為二進制文件,將其存儲到硬盤中
import java.io.*;
public class Main{
public static void main(String [] args){
將對象序列化為二進制文件
Persion p = new Persion();
p.name = "Joner";
p.age = 18;
try {
//打開一個文件輸入流
FileOutputStream fileOut = new FileOutputStream("D:\test\test.db");
//建立對象輸入流
ObjectOutputStream out = new ObjectOutputStream(fileOut);
//輸出反序列化對象
out.writeObject(p);
out.close();
fileOut.close();
System.out.printf("保存成功");
}catch(IOException i){
i.printStackTrace();
}
}進行反序列化
import java.io.*;
public class Main{
public static void main(String [] args){
/*從二進制文件中提取對象*/
Persion persion = null;
try{
FileInputStream fileInputStream = new FileInputStream("D:\test\test.db");
//建立對象輸入流
ObjectInputStream inputStream = new ObjectInputStream(fileInputStream);
persion = (Persion) inputStream.readObject();
inputStream.close();
fileInputStream.close();
}catch (ClassNotFoundException c){
System.out.println("對象未找到");
c.printStackTrace();
return;
} catch (FileNotFoundException e) {
e.printStackTrace();
return;
} catch (IOException e) {
e.printStackTrace();
return;
}
System.out.println("反序列化對象.......");
System.out.println("Name:"+persion.name);
System.out.println("Age:"+persion.age);
}
}查看test.db文件的內容可以看見如下內容
其中 AC ED 00 05 是java 序列化內容的特征,其中00 05 是版本信息,base64編碼后為ro0AB
反序列化漏洞Demo
在上面的Demo中可以看到,進行反序列化時會調用readObject()方法,如果readObject方法書寫不當就會引發漏洞。
import java.io.*;
public class Main{
public static void main(String [] args)throws Exception{
Unsafeclass unsafeclass = new Unsafeclass();
unsafeclass.name = "hhhhh";
FileOutputStream fileOutputStream = new FileOutputStream("object");
ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream);
//將對象寫入object文件
objectOutputStream.writeObject(unsafeclass);
objectOutputStream.close();
//從文件中反序列化對象
FileInputStream fileInputStream = new FileInputStream("object");
ObjectInputStream objectInputStream = new ObjectInputStream(fileInputStream);
//恢復對象
Unsafeclass objectFormDisk = (Unsafeclass)objectInputStream.readObject();
System.out.println(objectFormDisk.name);
objectOutputStream.close();
}
}
class Unsafeclass implements Serializable{
public String name;
//重寫readObject()方法
private void readObject(java.io.ObjectInputStream inputStream ) throws IOException , ClassNotFoundException{
//執行默認的readObdect()方法
inputStream.defaultReadObject();
//執行打開計算器命令
Runtime.getRuntime().exec("calc.exe");
}
}程序運行過程為:
這樣看感覺并不會有人會這樣寫readobject()這個方法,而且一些成熟的框架都會有防范反序列化的方法,但仍有很大比例的反序列化漏洞,這主要是使用了不安全的庫造成的。上面只是介紹了簡單的Java反序列化過程,接下來會有一篇文章介紹反序列化漏洞檢測方法以及復現一些經典反序列化漏洞。
關于Java序列化和反序列化出現漏洞的解決方案就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
