一、Java反序列化漏洞的挖掘
1、黑盒流量分析:
在Java反序列化传送的包中,一般有两种传送方式,在TCP报文中,一般二进制流方式传输,在HTTP报文中,则大多以base64传输。因而在流量中有一些特征:
(1)TCP:必有aced0005,这个16进制流基本上也意味者java反序列化的开始;
(2)HTTP:必有rO0AB,其实这就是aced0005的base64编码的结果;
以上意味着存在Java反序列化,可尝试构造payload进行攻击。
2、黑盒java的RMI:
rmi是java的一种远程对象(类)调用的服务端,默认于1099端口,基予socket通信,该通信实现远程调用完全基于序列化以及反序列化。
3、白盒代码审计:
(1)观察实现了Serializable接口的类是否存在问题。
(2)观察重写了readObject方法的函数逻辑是否存在问题。
二、Java反序列化的攻击:
参见我的博客:
三、Java反序列化漏洞的防御:
1、类的白名单校验机制:
实际上原理很简单,就是对所有传入的反序列化对象,在反序列化过程开始前,对类型名称做一个检查,不符合白名单的类不进行反序列化操作。很显然,这个白名单肯定是不存在Runtime的。
2、禁止JVM执行外部命令Runtime.exec
这个措施可以通过扩展 SecurityManager 可以实现。
1 SecurityManager originalSecurityManager =System.getSecurityManager();2 if (originalSecurityManager == null) {3 //创建自己的SecurityManager
4 SecurityManager sm = newSecurityManager() {5 private voidcheck(Permission perm) {6 //禁止exec
7 if (perm instanceofjava.io.FilePermission) {8 String actions =perm.getActions();9 if (actions != null && actions.contains("execute")) {10 throw new SecurityException("execute denied!");11 }12 }13 //禁止设置新的SecurityManager,保护自己
14 if (perm instanceofjava.lang.RuntimePermission) {15 String name =perm.getName();16 if (name != null && name.contains("setSecurityManager")) {17 throw new SecurityException("System.setSecurityManager denied!");18 }19 }20 }21
22 @Override23 public voidcheckPermission(Permission perm) {24 check(perm);25 }26
27 @Override28 public voidcheckPermission(Permission perm, Object context) {29 check(perm);30 }31 };32
33 System.setSecurityManager(sm);34 }
四、参考文献:
/312/