JAVA序列化危機

Apache Commons Collection 中的反序列化漏洞在 2016 年撼動了整個Java 生態(tài)系統(tǒng)，也影響到了 70 余個其他的 Java 庫，甚至還讓 PayPal 的服務器遭受影響。
OWASP組織將“不安全的反序列化”列為2017年10項最嚴重的Web 應用程序安全風險榜的第8位。

北票ssl適用于網(wǎng)站、小程序/APP、API接口等需要進行數(shù)據(jù)傳輸應用場景，ssl證書未來市場廣闊！成為成都創(chuàng)新互聯(lián)的ssl證書銷售渠道，可以享受市場價格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18980820575（備注：SSL證書合作）期待與您的合作！

Android 反序列化漏洞 CVE-2014-7911

Android <5.0系統(tǒng)中，可以利用ObjectInputStream未校驗是否可反序列化的漏洞，惡意傳入不可序列化對象將產(chǎn)生類型混淆，成員變量被當成指針向system_server進程注入代碼，由于system_server擁有system權(quán)限，從而使得注入的代碼以system權(quán)限執(zhí)行。

序列化代理模式

由于使用序列化在整個行業(yè)的巨大風險，在java取消或使用新的替代品之前，最好對序列化行為進行代理，可以阻止偽字節(jié)流***和內(nèi)部域盜用***，避免造成重大損失。

java的隱藏方法

隱藏方法介紹：
readObject()和writeObject()，可以自定義序列化傳輸過程，例如在前后添加自定義內(nèi)容，或者直接修改返回結(jié)果；可以在readObject添加保護性代碼，校驗是否真實結(jié)果。

writeReplace()：實際序列化的對象將是作為writeReplace方法返回值的對象，而且序列化過程的依據(jù)是實際被序列化對象的序列化實現(xiàn)。

readResolve()：在類中有多個實例時，可以通過該方法去決定反序列化后的結(jié)果。

在Serializable接口定義中并無這些方法，實際是ObjectOutputStream使用了反射來尋找是否聲明了這些隱藏方法再進行調(diào)用。

使用隱藏方法實現(xiàn)序列化代理模式

參照Effective Java序列化代理模式如下：

public class Interval implements Serializable {
    private final Date start;
    private final Date end;

    public Interval(Date start, Date end) {
        this.start = new Date(start.getTime());
        this.end = new Date(end.getTime());
        if (this.start.compareTo(this.end) > 0)
            throw new IllegalArgumentException(start + " after " + end);
    }


//提供序列化方法
    private Object writeReplace() {
    return new SerializationProxy(this);
    }

//禁止反序列化外圍類
private void readObject(ObjectInputStream ois) throws InvalidObjectException {
    throw new InvalidObjectException("Proxy required!");
}

    public Date getStart() {return new Date(start.getTime());}
    public Date getEnd() {return new Date(end.getTime());}

    @Override
    public String toString() {
        return "Interval{" + "start=" + start + ", end=" + end + '}';
    }

    private static class SerializationProxy implements Serializable {
        private static final long serivalVersionUID = 213214124141L;
        private final Date start;
        private final Date end;

        SerializationProxy(Interval interval) {
            this.start = interval.start;
            this.end = interval.end;
        }
//轉(zhuǎn)回外圍類
private Object readResolve() {
    return new Interval(start, end);
}
    }
}

注意應用場景和使用的缺陷

1 擴展性差，需要同步修改實例對象和代理對象。
2 如果直接使用代理類，無法調(diào)用對象方法，需要轉(zhuǎn)換成實際類使用。
3 安全但開銷更大。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

網(wǎng)站標題：JAVA與Android世界級序列化危機與應對方案-創(chuàng)新互聯(lián)
本文來源：http://www.rwnh.cn/article12/dohigc.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供Google、標簽優(yōu)化、企業(yè)網(wǎng)站制作、網(wǎng)站維護、品牌網(wǎng)站制作、小程序開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)