2020年11月25日
Java安全之反序列化(四)--fastjson < 1.2.41-1.2.45
摘要: fastjson在1.2.24漏洞之后,官方的修复方案是引入checkAutotype安全机制,通过黑白名单来实现防御,并且在默认情况下也不支持@type来指定随意对象进行实例化了。下图是1.2.25版本。 下图是在1.2.25之后开启AutoTypeSupport的实例化对象结果。 然后再把@ty 阅读全文
posted @ 2020-11-25 16:09 学安全的小鬼 阅读(414) 评论(0) 推荐(0) 编辑
Java安全之反序列化(三)--fastjson <1.2.24
摘要: fastjson反序列化导致代码执行: fastjson是由alibaba的工程师开发的一个开源json处理框架,使java对象和json数据可以相互转换,其应用十分广泛,我们先来看看fastjson 1.2.24版本的反序列化漏洞。ps:fastjson实例化java对象并不使用原生的readOb 阅读全文
posted @ 2020-11-25 15:08 学安全的小鬼 阅读(445) 评论(0) 推荐(0) 编辑
2020年11月24日
Java安全之反序列化(二)--CommonsCollections
摘要: 最经典的反序列化漏洞--CommonsCollections: 先从最经典的Apache Commons Collections分析,该漏洞直接影响了WebLogic,WebSphere,JBoss,Jenkins等一系列大型框架。 该漏洞的出现的根源在Commons Collections组件中对 阅读全文
posted @ 2020-11-24 20:07 学安全的小鬼 阅读(185) 评论(0) 推荐(0) 编辑
Java安全之反序列化(一)--基础篇
摘要: Java序列化基础: java是纯面向对象语言,在java的世界里所有东西都是对象。有些情况下,我们需要保存某一刻某个对象的信息来进行一些操作。因此才需要序列化机制,序列化机制将对象状态以二进制形式存储于文件系统中,然后可以在另一个jvm程序中用反序列化将对象再次恢复,可以有效地实现多平台之间的对象 阅读全文
posted @ 2020-11-24 16:38 学安全的小鬼 阅读(297) 评论(0) 推荐(0) 编辑