java代码审计之反序列化（权限问题）

最新推荐文章于 2021-08-06 11:36:39 发布

原创最新推荐文章于 2021-08-06 11:36:39 发布 · 393 阅读

0 ·

CC 4.0 BY-SA版权

java代码审计专栏收录该内容

19 篇文章

订阅专栏

本文探讨了Serializable接口中固有的序列化方法，如readObject、writeObject、readResolve和writeReplace，解释了它们的设计目的及权限声明的重要性。

概述

Serializable 的类的固有序列化方法包括 readObject， writeObject。
Serializable 的类的固有序列化方法，还包括 readResolve， writeReplace。
它们是为了单例 (singleton) 类而专门设计的。
根据权限最小化原则，一般情况下这些方法必须被声明为 private void。否则如果 Serializable的类开放 writeObject 函数为 public 的话，给非受信调用者过高权限，潜在有风险。有些情况下，比如 Serializable 的类是 Extendable, 被子类继承了，为了确保子类也能访问方法，那么这些方法必须被声明为 protected，而不是 private。

审计策略

人工搜索文本

public * writeObject
public * readObject
public * readResolve
public * writeReplace

修复方案
视情况根据上下文而定，变成私有类或者保护类，比如修改为

private void writeObject
private void readObject
protected Object readResolve
protected Object writeReplace

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

hu4wufu

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Java代码审计之反序列化漏洞详解

悦分享

01-24

154

主要对Apache Commons Collections反序列化漏洞利用链进行分析学习，存在缺陷的版本是Apache Commons Collections 3.2.1以下。

红队专题-漏洞挖掘-代码审计-反序列化

最新发布

aming小老弟

04-21

2190

TransformedMap⽤于对Java标准数据结构Map做⼀个修饰，被修饰过的Map在添加新的元素时，将可以执⾏⼀个回调。super(map);

参与评论您还未登录，请先登录后发表或查看评论

Java对象的序列化和反序列化源码阅读

weixin_33816300的博客

02-28

139

前言序列化和反序列化看起来用的不多，但用起来就很关键，因为稍一不注意就会出现问题。序列化的应用场景在哪里？当然是数据存储和传输。比如缓存，需要将对象复刻到硬盘存储，即使断电也可以重新反序列化恢复。下面简单理解序列化的用法以及注意事项。如何序列化 Java中想要序列化一个对象，必须实现Serializable接口。然后就可以持久化和反序列化了。下面是一个简单用法。项目测试代码： https:/...

Java序列化与反序列化

noibug的博客

08-06

131

import java.io.*; import java.io.IOException; public class Measurement { public static void main(String[] args) throws IOException, ClassNotFoundException { //序列化 Book b = new Book("金苹果2","讲述了种植过程"); ObjectOutputStream oos = ne

JAVA序列化和反序列化

lixue20141529的博客

09-03

357

转自：http://blog.nsfocus.net/learning-guide-java-serialization-de-serialization-vulnerability-remediation JAVA序列化和反序列化是啥？在现有很多的应用当中，需要对某些对象进行序列化，让它们离开内存空间，入驻物理硬盘，以便可以长期保存，其中最常见的是Web服务器中的Sessi

java对象的序列化和反序列化

weixin_34087301的博客

12-19

101

引言：　　序列化是将对象的状态信息转换为可以存储或传输的形式的过程，在序列化期间，对象将其带你过去的状态写入到临时或持储存区，反序列化就是重新创建对象的过程，此对象来自于临时或持久储存区。序列化的作用：　　就好比如存储数据到数据库，将一些数据持久化到数据库中，而有时候需要将对象持久化，虽然说将对象状态持久化的方式有很多，但是java给我们提供了一种很便捷的方式，那就是序列化，序列化可以实现对象到...

java反序列化工具

11-21

攻击者可以构造恶意的序列化对象，当它被目标应用反序列化时，可能会触发任意代码执行、权限提升或其他安全漏洞。这些漏洞通常利用了类库中的特性和设计缺陷，例如默认的信任所有反序列化数据，或者没有充分验证输入...

Java反序列化实战.pdf

08-08

### Java反序列化实战知识点详解 #### 一、反序列化概述 - **定义**：在计算机科学领域，反序列化是指将字节流或文本流等数据转换回其原始对象结构的过程。这一过程通常与序列化相对应，序列化是将对象的状态转化...

Java反序列化工具.zip

05-31

反序列化漏洞则是一个安全问题，攻击者可以通过构造恶意的序列化数据来利用这种漏洞，执行任意代码或获取服务器权限。标题"Java反序列化工具.zip"暗示了这个压缩包包含了一些工具，这些工具可能是为了帮助开发者...

Java反序列化终极测试工具

09-17

Java反序列化终极测试工具

JAVA与c#的序列化和反序列化

Henry_Wu001的专栏

02-15

3652

case) 已经写好了java的序列化对象存在于redis中，希望用c#来读取和修改。尝试后发现c#和java的序列化反序列化是不一样的，并且没有现成可用的方案。可用的solution 1）java/c# 都序列化为json或xml这种通用模型，这样2者可用交互没有问题。但对于我这个case因为java已经写好了，所以不太好改。 2）IKVM.net方案，这是一个

序列化与反序列化

weixin_30278237的博客

11-27

113

序列化是指一个对象的实例可以被保存，保存成一个二进制串，当然，一旦被保存成二进制串，那么也可以保存成文本串了。比如，一个计数器，数值为2，我们可以用字符串“2”表示。如果有个对象，叫做connter，当前值为2，那么可以序列化成“2”，反向的，也可以从“2”得到值为2的计数器实例。这样，关机时序列化它，开机时反序列化它，每次开机都是延续的。不会都是从头开始。序列化概念的提出和实现，可以使我...

不安全的反序列化（五）

努力让自己更优秀的博客

09-19

4059

WHY：分布式应用程序或那些需要在客户端或文件系统上存储状态的程序，可能正在使用对象序列化，具有公共倾听器或依赖于客户端维护状态的分布式应用程序，很可能允许对序列化数据进行篡改。这种攻击可使用于二进制格式，或基于文本的格式。 1，序列化机制允许创建任意数据类型； 2，有可用于将应用程序链接在一起的类，以反序列化期间或之后改变应用程序行为，或者使用非预期的内容来影响应用程序行为； 3，应用程序或A...

java 编码规范安全_【安全开发】java安全编码规范

weixin_42488179的博客

02-12

385

申明：本文非笔者原创，原文转载自：https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-3-java%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E8%A7%84%E8%8...

java代码审计之反序列化（敏感信息泄露）

糖小喵

05-07

5049

前言在 Java 环境中，允许处于不同受信域的组件进行数据通信，从而出现跨受信边界的数据传输。不要序列化未加密的敏感数据；不要允许序列化绕过安全管理器。 public class GPSLocation implements Serializable { private double x; // sensitive field private double y; // sensitive...

Java 序列化和反序列化

qq_41945550的博客

08-07

264

Java 序列化和反序列化 在很多语言中都提供了对象反序列化支持，Java在JDK1.1(1997年)时就内置了对象反序列化(java.io.ObjectInputStream)支持。Java对象序列化指的是将一个Java类实例序列化成字节数组，用于存储对象实例化信息：类成员变量和属性值。Java反序列化可以将序列化后的二进制数组转换为对应的Java类实例。 Java序列化对象因其可以方便的将对象转换成字节数组，又可以方便快速的将字节数组反序列化成Java对象而被非常频繁的被用于Socket传输。在RMI(

常见的Java审计代码函数关键字_转载：Java代码审计汇总系列(四)——反序列化...

weixin_39588679的博客

02-25

755

一、概述不安全的反序列化(Insecure Deserializations)在最新的OWASP Top 10列表中列于A8。这个漏洞的本质和其他漏洞其实基本相同，是在反序列化的过程中未严格控制用户输入，导致DOS或RCE，只是反序列化这个概念可能稍陌生一点，可通过之前文章了解反序列化原理和Weblogic系列漏洞：Weblogic反序列化历史漏洞全汇总。二、挖掘过程以Webgoat的案例讲解：输...