Java 序列化安全问题(不符合客户的安全标准)

【问题标题】:Java serialization security issues (fail customer's security standards )Java 序列化安全问题(不符合客户的安全标准)
【发布时间】:2021-11-16 20:23:03
【问题描述】:

我在一家小型软件公司工作,我们使用本地安装的代理,该代理在 OSGI 环境上运行,以收集有关服务器的数据并使用 ws hhtp 请求将它们发送到主服务器。 通常我们使用 sbe 协议 来编码/解码消息,但它不适用于 > 50M 的消息(主服务器卡在 sbe 解码上),所以对于这种特殊情况,我发送 Java 序列化将在服务器端反序列化的对象。 一位大客户在安装之前对我们的应用进行了大规模测试,发现以下情况:

/resource/save-data-upload-big-file 易受攻击 到不安全的 java 反序列化。

我们成功地利用了这个漏洞来获得一个 在服务器上执行。

我不清楚他们是如何做到这一点的(远程代码执行),但他们建议使用另一种方法将收集到的数据传输到服务器。

我在考虑 SealedObject...RCE 是否安全? 提前致谢

【问题讨论】:

    标签: java security serialization reverse-shell java-sealed-type


    【解决方案1】:

    他们是对的 - (java) 反序列化问题是目前行业的一大痛点。它甚至在OWASP Top 10 上被提及。它不仅与 Java 相关。编程语言往往具有某种钩子机制(Java 中的readObjectwriteObject),可能会被误用于通过应用程序中的小工具和库调用某些内部函数。

    缓解措施是rather tricky and may force you to go in directions you would rather not want to。最简单的解决方案可能是删除易受攻击的端点并将其替换为不需要反序列化 java 类的东西。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2023-04-08
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2010-10-17
      • 2016-04-18
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode