深入剖析 Java 反序列化：FASTjson 漏洞与 Shiro 漏洞

目录

深入剖析 Java 反序列化：FASTjson 漏洞与 Shiro 漏洞

引言

Java 反序列化原理

示例代码

FASTjson 漏洞分析

漏洞成因

示例代码

防护措施

Shiro 漏洞分析

漏洞成因

示例代码（模拟攻击场景）

防护措施

总结

---

引言

在 Java 应用开发中，反序列化是一项重要的技术，但同时也隐藏着巨大的安全风险。FASTjson 和 Shiro 作为 Java 开发中常用的工具和框架，其反序列化漏洞曾引发了广泛关注。本文将深入探讨 Java 反序列化的原理，结合 FASTjson 和 Shiro 的漏洞案例，分析其成因、危害，并提供相应的防护措施。

Java 反序列化原理

Java 对象序列化是将对象转换为字节流的过程，以便在网络传输或存储到文件中。而反序列化则是将字节流重新转换回 Java 对象。在 Java 中，通过ObjectOutputStream和ObjectInputStream类来实现对象的序列化和反序列化。

示例代码

import java.io.*;

class User implements Serializable {

private String name;

private int age;

public User(String name, int age) {

this.name = name;

this.age = age;

}

@Override

public String toString() {

return "User{" +

"name='" + name + '\'' +

", age=" + age +

'}';

}

}

public class SerializationExample {

public static void main(String[] args) {

User user = new User("John", 30);

// 序列化

try (ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("user.ser"))) {

oos.writeObject(user);

} catch (IOException e) {

e.printStackTrace();

}

// 反序列化

try (ObjectInputStream ois = new ObjectInputStream(new FileInputStream("user.ser"))) {

User deserializedUser = (User) ois.readObject();

System.out.println(deserializedUser);

} catch (IOException | ClassNotFoundException e) {

e.printStackTrace();

}

}

}

这段代码展示了一个简单的 Java 对象序列化和反序列化过程。然而，当反序列化不受信任的数据时，就可能引发安全问题。

FASTjson 漏洞分析

FASTjson 是一个广泛使用的 Java JSON 处理库。在早期版本中，存在反序列化漏洞，攻击者可以利用该漏洞执行任意代码。

漏洞成因

FASTjson 在反序列化过程中，如果配置不当，会自动实例化并调用对象的 setter 方法。攻击者可以通过构造恶意的 JSON 数据，利用 FASTjson 的自动类型转换和对象创建机制，触发危险的方法调用。

示例代码

import com.alibaba.fastjson.JSON;

import com.alibaba.fastjson.JSONObject;

public class FastjsonVulnerabilityExample {

public static void main(String[] args) {

String maliciousJson = "{\"@type\":\"java.lang.ProcessBuilder\",\"command\":[\"calc.exe\"]}";

try {

JSONObject jsonObject = JSON.parseObject(maliciousJson);

// 这里会触发ProcessBuilder的构造函数，执行恶意命令

} catch (Exception e) {

e.printStackTrace();

}

}

}

上述代码中，恶意的 JSON 数据利用@type指定了要实例化的类为java.lang.ProcessBuilder，并设置了command执行系统命令（这里以打开计算器为例）。如果应用程序在反序列化时没有对@type进行严格过滤，就会导致漏洞被利用。

防护措施

1. 升级版本：及时升级 FASTjson 到最新版本，新版本通常修复了已知的漏洞。

1. 禁用 AutoType：在 FASTjson 1.2.25 及以上版本，可以通过ParserConfig.getGlobalInstance().setAutoTypeSupport(false)禁用 AutoType 功能，防止恶意类的实例化。

1. 白名单机制：使用白名单机制，只允许特定的类进行反序列化。

Shiro 漏洞分析

Apache Shiro 是一个强大且易用的 Java 安全框架，用于身份验证、授权、加密和会话管理。Shiro 也曾爆出反序列化漏洞，影响广泛。

漏洞成因

Shiro 在处理会话管理时，会将会话数据进行序列化和反序列化。如果攻击者能够获取到序列化后的会话数据，并构造恶意的序列化数据进行反序列化，就可能执行任意代码。

示例代码（模拟攻击场景）

import org.apache.shiro.session.mgt.eis.ByteArraySessionDAO;

import org.apache.shiro.session.mgt.SimpleSession;

import org.apache.shiro.session.Session;

import org.apache.shiro.codec.Base64;

import java.io.ByteArrayInputStream;

import java.io.ByteArrayOutputStream;

import java.io.ObjectInputStream;

import java.io.ObjectOutputStream;

public class ShiroVulnerabilityExample {

public static void main(String[] args) throws Exception {

// 模拟恶意会话数据

SimpleSession session = new SimpleSession();

session.setAttribute("key", "恶意数据");

ByteArraySessionDAO sessionDAO = new ByteArraySessionDAO();

byte[] serializedSession = sessionDAO.serialize(session);

// 模拟反序列化过程

ByteArrayInputStream bis = new ByteArrayInputStream(serializedSession);

ObjectInputStream ois = new ObjectInputStream(bis);

Session deserializedSession = (Session) ois.readObject();

System.out.println(deserializedSession.getAttribute("key"));

}

}

在实际攻击中，攻击者会构造包含恶意类的序列化数据，替换正常的会话数据，当 Shiro 进行反序列化时，就会执行恶意代码。

防护措施

1. 升级版本：及时升级 Shiro 到最新版本，修复已知漏洞。

1. 加密会话数据：对会话数据进行加密处理，防止数据被篡改。

1. 验证和过滤：在反序列化之前，对会话数据进行严格的验证和过滤，防止恶意数据进入反序列化流程。

总结

Java 反序列化漏洞是一个严重的安全问题，FASTjson 和 Shiro 漏洞只是其中的典型案例。开发者在使用相关库和框架时，要时刻关注安全动态，及时升级版本，采取有效的防护措施。同时，在处理反序列化操作时，要对输入数据进行严格的验证和过滤，避免引入安全风险。通过深入了解反序列化漏洞的原理和防范方法，我们可以更好地保障 Java 应用的安全。