【网络安全】常见漏洞篇——反序列化漏洞详解

网络安全常见漏洞篇

反序列化漏洞

反序列化漏洞（Deserialization Vulnerability）是一种安全漏洞，存在于应用程序中对数据进行反序列化操作的过程中。当应用程序接收到外部传递的恶意序列化数据并进行反序列化时，攻击者可以利用这个漏洞执行未经授权的代码或导致应用程序受到攻击。

01

反序列化漏洞原理

要了解反序列化漏洞，首先我们得知道什么是序列化和反序列化，简单来说序列化：就是将对象转化为字符串进行存储；反序列化：就是将字符串转化为对象；反序列化漏洞：就是在反序列化过程中，如果恶意者可以对将要转换的字符串进行操控，从而达到任意代码执行的操作，就是反序列化漏洞。

反序列化漏洞的主要原理是应用程序在反序列化过程中没有对传入的数据进行足够的验证和过滤，导致攻击者可以利用构造的恶意序列化数据来执行任意代码或远程代码执行攻击。

一般情况下，应用程序在接受到序列化数据后会使用反序列化操作将数据还原成对象。反序列化操作通常涉及到解析输入流，创建对象实例，读取对象属性等操作，在这个过程中，应用程序需要根据序列化的格式和规范来还原对象的状态。而攻击者可以通过构造特定的序列化数据来利用应用程序中的反序列化操作，从而实现代码注入和执行。

例如，攻击者可以构造恶意的Java序列化数据，其中包含可执行的Java代码，当应用程序使用反序列化操作将该数据还原成对象时，就会执行其中的恶意代码，造成安全威胁。

为了利用反序列化漏洞，攻击者需要了解目标应用程序所使用的序列化库和协议，以及应用程序如何处理序列化数据。攻击者可以通过手动构造序列化数据或利用已有的工具来生成恶意序列化数据。

02

反序列化漏洞简单案例

以下以pikachu靶场中一个简单的反序列化漏洞案例来说明：

序列化serialize()

序列化说通俗点就是把一个对象变成可以传输的字符串,比如下面是一个对象:

class S{`    `public $test="pikachu";``}``   ``$s=new S();     //创建一个对象``   ``serialize($s);     //把这个对象进行序列化``   ``序列化后得到的结果是这个样子的:O:1:"S":1:{s:4:"test";s:7:"pikachu";}`    `O:代表object`    `1:表示该对象的类名的字节数（即类名长度为1）`    `S:对象的名称`    `1:表示该对象有 1 个属性。`    `s:数据类型`    `4:变量名称的长度`    `test:变量名称`    `s:数据类型`    `7:变量值的长度`    `pikachu:变量值

反序列化unserialize()

就是把被序列化的字符串还原为对象，然后在接下来的代码中继续使用。

$u=unserialize("O:1:"S":1:{s:4:"test";s:7:"pikachu";}");``   ``echo $u->test; //得到的结果为pikachu

序列化和反序列化本身没有问题,但是如果反序列化的内容是用户可以控制的,且后台不正当的使用了PHP中的魔法函数,就会导致安全问题。

pikachu内反序列化漏洞靶场页面如下：

当我们输入序列化数据

O:1:"S":1:{s:4:"test";s:7:"pikachu";}

此时反序列化函数将输入的序列化数据还原为了对象。

如果攻击者在此输入页面中输入恶意代码，则会被该反序列化函数还原为对象，进行执行。

如结合XSS漏洞，在该输入框内输入:

O:1:"S":1:{s:4:"test";s:30:"<script>alert('haha')</script>";}

则会弹出XSS攻击页面

03

反序列化漏洞的危害

黑客通常会利用反序列化漏洞来执行远程代码执行攻击或实现任意代码执行。反序列化漏洞的危害包括但不限于：

1. 执行任意代码：攻击者可以利用反序列化漏洞来注入恶意代码，从而执行任意操作，比如篡改数据、窃取敏感信息等。

2. 拒绝服务攻击：攻击者可以构造大量的恶意序列化数据，来消耗程序的资源，使其无法正常运行。

3. 身份伪造：攻击者可以篡改序列化数据，以伪造身份，来绕过认证机制。

4. 数据泄露：攻击者可以通过注入恶意代码来窃取程序中存储的敏感信息，比如用户凭证、密码等。

04

反序列化漏洞的防范策略

常见的反序列化漏洞函数通常是应用程序中用于反序列化操作的函数或方法。由于不同的编程语言和框架在序列化和反序列化方面有各自的特点，因此反序列化漏洞函数也会有所不同。以下是一些常见的反序列化漏洞函数：

Java 中的 ObjectInputStream.readObject()：ObjectInputStream 类的 readObject() 方法用于将序列化的对象数据还原成实际的对象实例。如果未对传入的序列化数据进行充分验证和过滤，攻击者可以构造恶意的序列化数据来执行任意代码。

PHP 中的 unserialize()：PHP 中的 unserialize() 函数用于将序列化的字符串转换为 PHP 变量。如果应用程序在接收用户输入后直接使用 unserialize() 函数进行反序列化操作，而没有对输入进行严格的验证和过滤，就可能存在反序列化漏洞。

.NET 中的 BinaryFormatter.Deserialize()：在.NET Framework 中，BinaryFormatter 类的 Deserialize() 方法用于将二进制数据反序列化为对象。如果应用程序在使用 BinaryFormatter 进行反序列化时没有实施有效的安全措施，就可能受到反序列化攻击。

为了防止反序列化漏洞的利用，可以采取以下措施：

输入验证和过滤：对于外部传入的序列化数据，应该进行严格的输入验证和过滤，确保数据的来源可信和完整。

应用程序安全配置：在应用程序的安全配置中，禁用或限制不必要的反序列化操作，只允许从受信任的源进行反序列化。

使用安全的序列化库：选择使用安全性较高的序列化库，这些库通常提供了更多的安全特性和保护机制。

持续更新和修补：及时更新和修补应用程序中使用的序列化库，以确保已知的反序列化漏洞得到修复。

检测和监控：实施日志记录和监控机制，及时检测和响应可能的反序列化攻击。

网安资料

 为了帮助大家更好的学习网络安全，我给大家准备了一份网络安全入门/进阶学习资料，里面的内容都是适合零基础小白的笔记和资料，不懂编程也能听懂、看懂，所有资料共282G，朋友们如果有需要全套网络安全入门+进阶学习资源包，可以点击免费领取（如遇扫码问题，可以在评论区留言领取哦）~

《网络安全入门+进阶学习资源包》优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

 👉网安（嘿客红蓝对抗）所有方向的学习路线👈

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

​​​​
 学习资料工具包

压箱底的好资料，全面地介绍网络安全的基础理论，包括逆向、八层网络防御、汇编语言、白帽子web安全、密码学、网络安全协议等，将基础理论和主流工具的应用实践紧密结合，有利于读者理解各种主流工具背后的实现机制。

​​​​

网络安全源码合集+工具包

​​

视频教程

​​

 面试题资料

独家渠道收集京东、360、天融信等公司测试题！进大厂指日可待！
​​​ 全部资料共282G，朋友们如果有需要全套网络安全入门+进阶学习资源包，可以点击免费领取（如遇扫码问题，可以在评论区留言领取哦）~

黑客/网安大礼包：优快云大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

好了就写到这了,大家有任何关于网安方面的问题也可以随时私信问我,后续也会给大家分享更多网安方面的知识!希望大家不要忘记点赞收藏哦!