• Cryhard
    2020-01-18
    嵌套100层HashSet的反序列化攻击的例子——对CPU的消耗可能与哈希碰撞后退化为链表,进而加大遍历的复杂度有关。不知道Java新版本是否会有相应的基础性对策……
    
    
  • leslie
    2019-12-30
    RASP方式听说过不少,只知道要去用,不知道为何,毕竟主业是运维不是网络相关的;学习中不断补充强化自己。谢谢老师的分享。
    
    
  • Geek_98dc22
    2019-12-29
    老师您好。像常用的渗透工具 metaexploit 里面提供的meterpreter/reverse_tcp是不是也是利用系统的反序列化的工作流程,执行一段黑客插入的恶意指令程序.

    作者回复: 我理解的reverse_tcp应该是用来建立一个反弹shell的工具,跟具体的漏洞无关。

    
    
  • Cy23
    2019-12-29
    漏洞是不是反系列化的同时执行了某个代码,
    问个本课外问题,最近有台JAVA服务器,密码被破解,通过后台上传功能,上传*马图片和各种后缀页面,通过webshell获取服务器账号,访问sql2000数据库等,暂时还没想好怎么破,隐藏上传图片功能

    作者回复: 这是文件上传漏洞,可以对上传文件的类型和存储的位置做限制,基本可以修复。

    
    
  • 小晏子
    2019-12-28
    用过fastjson,Fastjson 1.2.24就有反序列化漏洞,这个漏洞能让黑客在服务器上执行任何命令,如果服务器开了open api,且接受参数中有json数据,json解析引用了fastjson 1.2.24,那就有很大的安全风险,拒绝服务攻击,被删除服务器文件,服务器系统被破坏,都是完全可能的。

    作者回复: 是的,fastjson已经曝出过好几次反序列化漏洞了。

    
    
  • geek.flare
    2019-12-28
    我是做.net 开发,在编写服务之间的通讯时经常会用到序列化和反序列化,以前真没想到会有这种漏洞。请问.net有类似的RASP工具吗?

    作者回复: 目前开源的RASP,我知道的只有百度的OpenRASP,不过似乎并没有支持.net。商业版本倒是会有宣称能够实现的。从原理上说,和Java的实现机制应该比较类似。

    
    
  • alan
    2019-12-27
    一般说运行web服务时,不要使用root权限,这跟反序列化漏洞的风险也有关系吧?

    作者回复: 应该是跟所有漏洞风险都有关系,最小权限永远都是最佳实践~

    
    
  • 柒月
    2019-12-27
    没后台经验 前几节web的受益良多 这里就只能大概了解下概念了
    
    
我们在线,来聊聊吧