程序员写在文章前:上周,我的文章已从“分布式处理中RPC框架、RMI基本通讯代码、RMI源码浅析、代码逻辑总结”等九大部分的内容,与大家分享了我在操作过程中对“RMI基础”部分的一些见解。今天,我想以“RMI反序列化漏洞解析”为主题与大家一同研究其反序列化的漏洞。
Hutool 中的XmlUtil.readObjectFromXml方法直接封装调用XMLDecoder.readObject解析xml数据,当使用 readObjectFromXml 去处理恶意的 XML 字符串时会造成任意代码执行。
以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。在身份验证,文件读写,数据传输等功能处,在未对反序列化接口做访问控制,未对序列化数据做加密和签名,加密密钥使用硬编码,使用不安全的反序列化框架库或函数的情况下,由于序列化数据可被用户控制,攻击者可以精心构造恶意的序列化数据传递给应用程序,在应用程序反序列化对象时执行攻击者构造的恶意代码,达到攻击者的目的。
2021年11月24日,阿里云安全团队团队成员之一的Chen Zhaojun 在进行漏洞的筛查时发现了核弹级漏洞 log4shell或log4j 或LogJam,是一个远程代码执行类漏洞,存在于一个「数百万」应用程序都在使用的开源Java日志库Log4j2中。
大众网记者 李可欣 田甜 枣庄报道网络安全为人民,网络安全靠人民。9月9日,2024年国家网络安全宣传周枣庄市活动开幕式上公布了枣庄市网络安全十大典型案例。案例一:滕州某国有企业官方网站及0A系统存在文件上传漏洞,存在植入有害信息和页面篡改风险。
目录致谢0x00 字节跳动-渗透测试实习生0x010x02 深信服-漏洞研究员实习0x030x04 字节跳动-安全研究实习生0x05 长亭科技-安全服务工程师0x06 天融信面试复盘0x07 腾讯-安全技术实习生0x08 小鹏汽车-安全工程师0x09 阿里巴巴-阿里云安全0x0A
