Java反序列化漏洞详解

Java反序列化漏洞原理

      序列化就是把对象转换成字节流，便于保存在内存、文件、数据库中；反序列化即逆过程，由字节流还原成对象。

      Java中的ObjectOutputStream类的writeObject()方法可以实现序列化，类ObjectInputStream类的readObject()方法用于反序列化。

     下面是将字符串对象先进行序列化，存储到本地文件，然后再通过反序列化进行恢复的样例代码：

public static void main(String args[]) throws Exception { 
     String obj = "hello world!";

      // 将序列化对象写入

public static void main(String args[]) throws Exception { 
     String obj = "hello world!";

      // 将序列化对象写入文件object.db中
      FileOutputStream fos = new FileOutputStream("object.db");
      ObjectOutputStream os = new ObjectOutputStream(fos);
      os.writeObject(obj);
      os.close();
  
     // 从文件object.db中读取数据
     FileInputStream fis = new FileInputStream("object.db");
     ObjectInputStream ois = new ObjectInputStream(fis);
 
     // 通过反序列化恢复对象obj
     String obj2 = (String)ois.readObject();
     ois.close();
 }

问题代码分析：   

       如果Java应用对用户输入，即不可信数据做了反序列化处理，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，非预期的对象在产生过程中就有可能带来任意代码执行。

      所以这个问题的根源在于类ObjectInputStream在反序列化时，没有对生成的对象的类型做限制；假若反序列化可以设置Java类型的白名单，那么问题的影响就小了很多。

反序列化问题由来已久，且并非Java语言特有，在其他语言例如PHP和Python中也有相似的问题。@gebl和@frohoff的报告中所指出的并不是反序列化这个问题，而是一些公用库，例如Apache Commons Collections中实现的一些类可以被反序列化用来实现任意代码执行。WebLogic、WebSphere、JBoss、Jenkins、OpenNMS这些应用的反序列化漏洞能够得以利用，就是依靠了Apache Commons Collections。

测试方法：

1、人工审计源代码。

2、利用大佬共享的测试工具，进行测试。

修复建议

1、将服务器安装的JDK升级到官方最新版本，可以防范目前以往所有公布的Java反序列化漏洞。

2、对于weblogic中间件反序列化漏洞，需要及时打上最新的补丁，或者配置防火墙策略，屏蔽掉T3协议的访问，只开放对HTTP、HTTPS访问。

3、对于Jboss、tomcat等中间件的反序列化漏洞，可以将存在反序列化漏洞的jar包升级到最新版本，但特殊情况下，需要升级的jar包种类比较多，此修复建议很费时。

4、检测防火墙配置，是否开启对Java反序列化漏洞的防范策略。