反序列化漏洞

最新推荐文章于 2025-12-05 17:02:52 发布

原创最新推荐文章于 2025-12-05 17:02:52 发布 · 467 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#java

反序列化漏洞概述

反序列化漏洞是指应用程序在反序列化不可信数据时，未进行充分验证或过滤，导致攻击者能够构造恶意序列化数据，执行任意代码、绕过身份验证或造成拒绝服务等攻击。这类漏洞常见于Java、PHP、.NET等支持对象序列化的语言中。

漏洞产生原因

未验证输入数据：应用程序直接反序列化用户提供的未经验证的数据。
使用危险的反序列化方法：如Java的ObjectInputStream.readObject()或PHP的unserialize()，这些方法可能触发类的魔术方法（如__wakeup()、__destruct()）。
依赖不安全的基础库：某些库的反序列化逻辑存在已知漏洞，例如Apache Commons Collections的早期版本。

常见攻击场景

远程代码执行（RCE）：通过构造恶意序列化数据，触发反序列化过程中的代码执行。
- Java示例：利用Apache Commons Collections的InvokerTransformer链。
- PHP示例：通过unserialize()触发__wakeup()或__destruct()中的恶意逻辑。
权限提升：反序列化过程中篡改对象属性，绕过身份验证或授权检查。
拒绝服务（DoS）：构造递归或无限循环的对象，消耗服务器资源。

防御措施

输入验证与过滤

避免直接反序列化用户输入，优先使用JSON等安全的数据交换格式。
对序列化数据实施完整性校验（如数字签名）。

安全配置

使用白名单机制限制可反序列化的类（Java中可通过ObjectInputFilter）。
更新依赖库至最新版本，避免使用已知存在漏洞的组件。

代码层防护

避免在反序列化类的魔术方法中执行敏感操作。
使用安全的替代方案，如Java的SerialKiller工具或PHP的allowed_classes参数。

检测与修复示例

Java反序列化漏洞检测

// 不安全的反序列化
try (ObjectInputStream ois = new ObjectInputStream(new FileInputStream("data.bin"))) {
    Object obj = ois.readObject(); // 高风险
}

修复方案（使用白名单）

ObjectInputFilter filter = ObjectInputFilter.Config.createFilter("com.example.*");
try (ObjectInputStream ois = new ObjectInputStream(new FileInputStream("data.bin"))) {
    ois.setObjectInputFilter(filter);
    Object obj = ois.readObject();
}

PHP反序列化漏洞检测

$data = unserialize($_POST['data']); // 高风险

修复方案（限制类）

$data = unserialize($_POST['data'], ['allowed_classes' => ['SafeClass']]);

工具推荐

ysoserial：生成Java反序列化利用Payload的工具。
PHPGGC：针对PHP框架的反序列化漏洞利用生成器。
Burp Suite插件：如"Java Deserialization Scanner"用于自动化检测。

参考案例

2015年Apache Commons Collections反序列化漏洞（CVE-2015-4852）。
2017年Fastjson反序列化漏洞（CVE-2017-18349）。

通过以上方法可有效减少反序列化漏洞的风险，关键点在于严格控制输入源与反序列化类的范围。