安全攻防技能30讲
何为舟
前微博安全研发负责人
立即订阅
2908 人已学习
课程目录
已更新 10 讲 / 共 30 讲
0/4登录后,你可以任选4讲全文学习。
开篇词 (1讲)
开篇词 | 别说你没被安全困扰过
免费
安全基础概念 (5讲)
01 | 安全的本质:数据被窃取后,你能意识到问题来源吗?
02 | 安全原则:我们应该如何上手解决安全问题?
03 | 密码学基础:如何让你的密码变得“不可见”?
04 | 身份认证:除了账号密码,我们还能怎么做身份认证?
05 | 访问控制:如何选取一个合适的数据保护方案?
Web安全 (4讲)
06 | XSS:当你“被发送”了一条微博时,到底发生了什么?
07 | SQL注入:明明设置了强密码,为什么还会被别人登录?
08 | CSRF/SSRF:为什么避免了XSS,还是“被发送”了一条微博?
09 | 反序列化漏洞:使用了编译型语言,为什么还是会被注入?
安全攻防技能30讲
登录|注册

09 | 反序列化漏洞:使用了编译型语言,为什么还是会被注入?

何为舟 2019-12-27
你好,我是何为舟。
我们都知道,Java 是一种高层级的语言。在 Java 中,你不需要直接操控内存,大部分的服务和组件都已经有了成熟的封装。除此之外,Java 是一种先编译再执行的语言,无法像 JavaScript 那样随时插入一段代码。因此,很多人会认为,Java 是一个安全的语言。如果使用 Java 开发服务,我们只需要考虑逻辑层的安全问题即可。但是,Java 真的这么安全吗?
2015 年,Java 曾被曝出一个严重的漏洞,很多经典的商业框架都因此受到影响,其中最知名的是WebLogic。据统计,在网络中公开的 WebLogic 服务有 3 万多个。其中,中国就有 1 万多个外网可访问的 WebLogic 服务。因此,WebLogic 的反序列化漏洞意味着,国内有 1 万多台服务器可能会被黑客攻陷,其影响的用户数量更是不可估量的。
你可能要说了,我实际工作中并没有遇到过反序列化漏洞啊。但是,你一定使用过一些序列化和反序列化的工具,比如 Fastjson 和 Jackson 等。如果你关注这些工具的版本更新,就会发现,这些版本更新中包含很多修复反序列化漏洞的改动。而了解反序列化漏洞,可以让你理解,Java 作为一种先打包后执行的语言,是如何被插入额外逻辑的;也能够让你对 Java 这门语言的安全性,有一个更全面的认知。
取消
完成
0/1000字
划线
笔记
复制
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
该试读文章来自付费专栏《安全攻防技能30讲》,如需阅读全部文章,
请订阅文章所属专栏。
立即订阅
登录 后留言

精选留言(6)

  • Geek_98dc22
    老师您好。像常用的渗透工具 metaexploit 里面提供的meterpreter/reverse_tcp是不是也是利用系统的反序列化的工作流程,执行一段黑客插入的恶意指令程序.
    2019-12-29
  • Cy23
    漏洞是不是反系列化的同时执行了某个代码,
    问个本课外问题,最近有台JAVA服务器,密码被破解,通过后台上传功能,上传*马图片和各种后缀页面,通过webshell获取服务器账号,访问sql2000数据库等,暂时还没想好怎么破,隐藏上传图片功能

    作者回复: 这是文件上传漏洞,可以对上传文件的类型和存储的位置做限制,基本可以修复。

    2019-12-29
  • 小晏子
    用过fastjson,Fastjson 1.2.24就有反序列化漏洞,这个漏洞能让黑客在服务器上执行任何命令,如果服务器开了open api,且接受参数中有json数据,json解析引用了fastjson 1.2.24,那就有很大的安全风险,拒绝服务攻击,被删除服务器文件,服务器系统被破坏,都是完全可能的。

    作者回复: 是的,fastjson已经曝出过好几次反序列化漏洞了。

    2019-12-28
  • geek.flare
    我是做.net 开发,在编写服务之间的通讯时经常会用到序列化和反序列化,以前真没想到会有这种漏洞。请问.net有类似的RASP工具吗?
    2019-12-28
  • alan
    一般说运行web服务时,不要使用root权限,这跟反序列化漏洞的风险也有关系吧?

    作者回复: 应该是跟所有漏洞风险都有关系,最小权限永远都是最佳实践~

    2019-12-27
  • 柒月
    没后台经验 前几节web的受益良多 这里就只能大概了解下概念了
    2019-12-27
收起评论
6
返回
顶部