java序列化工具

㈠ java反序列化漏洞工具怎麼使用

反序列化顧名思義就是用二進制的形式來生成文件，由於common-collections.jar幾乎在所有項目里都會被用到，所以當這個漏洞被發現並在這個jar包內實現攻擊時，幾乎影響了一大批的項目，weblogic的中槍立刻提升了這個漏洞的等級（對weblogic不熟悉的可以網路）。

至於如何使用這個漏洞對系統發起攻擊，舉一個簡單的例子，我通過本地java程序將一個帶有後門漏洞的jsp（一般來說這個jsp里的代碼會是文件上傳和網頁版的SHELL）序列化，將序列化後的二進制流發送給有這個漏洞的伺服器，伺服器會自動根據流反序列化的結果生成文件，然後就可以大搖大擺的直接訪問這個生成的JSP文件把伺服器當後花園了。
如果Java應用對用戶輸入，即不可信數據做了反序列化處理，那麼攻擊者可以通過構造惡意輸入，讓反序列化產生非預期的對象，非預期的對象在產生過程中就有可能帶來任意代碼執行。

所以這個問題的根源在於類ObjectInputStream在反序列化時，沒有對生成的對象的類型做限制；假若反序列化可以設置Java類型的白名單，那麼問題的影響就小了很多。