Мобильная версияJava — обходной путь десериализации ненадежных данных ⇐ JAVA
-
Гость
Java — обходной путь десериализации ненадежных данных
В прошлом году мы столкнулись с так называемой уязвимостью десериализации объекта Java (не проблема Java, как кажется), которая десериализует объект, что может привести к удаленному выполнению кода (RCE) или отказу в доступе. Сервисные (DoS) атаки.
Подробную информацию см. на странице https://dzone.com/articles/java-seriali ... ns-million.
По сути, если код не может проверить входящий объект, он уязвим.
Воздействие этой атаки будет довольно высоким, как описано в разделе Как влияет на безопасность десериализация ненадежных данных в Java?
Сначала злоумышленник использовал классы из InvokerTransformer из Коллекции Apache Commons как способ построения цепочки атаки.
Решение 1. Внесение в черный список. Классы, использованные для построения цепочки гаджетов, не принимаются.
Но этого недостаточно, поскольку цепочку атаки можно построить многими другими способами. Обратитесь,
https://github.com/frohoff/ysoserial/tr ... l/payloads
Решение 2. Внесение в белый список Путем переопределения ObjectStream с помощью SecureObjectStream, который проверяет классы, которые фактически ожидаются приложением.
Опять же, это не отменяет атаки полностью. Существует RCE с использованием jre7u21 и атака типа «отказ в обслуживании» с использованием HashSets.
Решение 3. Отключите десериализацию. Самое лучшее.
Вопрос
В случаях, когда десериализацией нельзя пренебречь, есть ли лучший способ проверить и остановить появление неверных данных, прежде чем они взорвутся, кроме черных и белых списков?
В прошлом году мы столкнулись с так называемой уязвимостью десериализации объекта Java (не проблема Java, как кажется), которая десериализует объект, что может привести к удаленному выполнению кода (RCE) или отказу в доступе. Сервисные (DoS) атаки.
Подробную информацию см. на странице https://dzone.com/articles/java-seriali ... ns-million.
По сути, если код не может проверить входящий объект, он уязвим.
Воздействие этой атаки будет довольно высоким, как описано в разделе Как влияет на безопасность десериализация ненадежных данных в Java?
Сначала злоумышленник использовал классы из InvokerTransformer из Коллекции Apache Commons как способ построения цепочки атаки.
Решение 1. Внесение в черный список. Классы, использованные для построения цепочки гаджетов, не принимаются.
Но этого недостаточно, поскольку цепочку атаки можно построить многими другими способами. Обратитесь,
https://github.com/frohoff/ysoserial/tr ... l/payloads
Решение 2. Внесение в белый список Путем переопределения ObjectStream с помощью SecureObjectStream, который проверяет классы, которые фактически ожидаются приложением.
Опять же, это не отменяет атаки полностью. Существует RCE с использованием jre7u21 и атака типа «отказ в обслуживании» с использованием HashSets.
Решение 3. Отключите десериализацию. Самое лучшее.
Вопрос
В случаях, когда десериализацией нельзя пренебречь, есть ли лучший способ проверить и остановить появление неверных данных, прежде чем они взорвутся, кроме черных и белых списков?
