Java安全预防危险反序列化
更新时间:2023-10-29什么是反序列化?
在Java中,序列化是将对象转换为字节流的过程,反序列化是将字节流还原为对象的过程,其主要作用是在网络传输和存储数据时提高传输效率。Java的反序列化被广泛应用于JVM启动时的反射、分布式应用中的远程方法调用(RMI)和Java消息服务(JMS)等场景中。然而,如果没有适当的安全措施,反序列化也可能成为应用程序安全的一个重要漏洞点。
为什么反序列化会带来安全隐患?
因为Java反序列化机制的本质是从二进制数据中重新构建Java对象,这意味着攻击者可以通过构造恶意数据来控制反序列化的结果,从而对应用程序造成破坏。当反序列化的数据来源不可信时,攻击者可以通过构造恶意数据来执行任意代码,或者实现远程代码执行(RCE)攻击,从而危害应用程序的安全性和稳定性。
import java.io.*;
public class BadClass implements Serializable {
private void readObject(ObjectInputStream in)
throws IOException, ClassNotFoundException {
in.defaultReadObject();
Runtime.getRuntime().exec("cmd.exe /c calc");
}
}
public class Main {
public static void main(String[] args) throws Exception {
byte[] serializedData = getByteArrayFromNetwork();
ObjectInputStream in = new ObjectInputStream(new ByteArrayInputStream(serializedData));
in.readObject();
}
}
import java.io.*;
public class EvilClass implements Serializable {
private void readObject(ObjectInputStream in)
throws IOException, ClassNotFoundException {
in.defaultReadObject();
Runtime.getRuntime().exec("cmd.exe /c net user hacker password /add");
}
}
public class Main {
public static void main(String[] args) throws Exception {
byte[] serializedData = getByteArrayFromNetwork();
ObjectInputStream in = new ObjectInputStream(new ByteArrayInputStream(serializedData));
in.readObject();
}
}
如何预防反序列化漏洞?
为了防止反序列化漏洞,需要采取以下措施:
1. 使用可信的序列化数据源:在反序列化之前,需要对序列化数据进行验证,确保其来源是可信的,可以使用数字签名、哈希校验等方法确保数据完整性。
public static Object deserialize(byte[] data)
throws IOException, ClassNotFoundException {
byte[] hash = getHash(data); // 获取数据哈希值
if (!Arrays.equals(hash, getTrustedHashFor(data))) {
throw new SecurityException("Serialization data is not trusted!");
}
try (ByteArrayInputStream bis = new ByteArrayInputStream(data);
ObjectInput in = new ObjectInputStream(bis)) {
return in.readObject();
}
}
2. 明确指定反序列化类:不要使用默认的反序列化机制,而是显式地指定目标反序列化类,可以通过类名或者类的版本号来指定。
public static Object deserialize(byte[] data, Class<?> clazz)
throws IOException, ClassNotFoundException {
try (ByteArrayInputStream bis = new ByteArrayInputStream(data);
ObjectInput in = new ObjectInputStream(bis) {
// 重写resolveClass方法,明确指定反序列化类
@Override
protected Class<?> resolveClass(ObjectStreamClass objectStreamClass)
throws IOException, ClassNotFoundException {
return Class.forName(objectStreamClass.getName(), false, clazz.getClassLoader());
}
}) {
return in.readObject();
}
}
3. 对反序列化过程进行安全限制:可以设置安全管理器对反序列化过程进行限制,禁止执行不安全的操作。例如,限制反序列化时能够访问的类、方法、系统资源等。
public static Object deserialize(byte[] data, ClassFilter classFilter)
throws IOException, ClassNotFoundException {
try (ByteArrayInputStream bis = new ByteArrayInputStream(data);
ObjectInput in = new ObjectInputStream(bis)) {
// 设置安全管理器对反序列化过程进行限制
System.setSecurityManager(new SecurityManager() {
@Override
public void checkPermission(Permission perm) {
// 拒绝访问System.exit方法等危险操作
if (perm instanceof RuntimePermission &&
"exitVM".equalsIgnoreCase(perm.getName())) {
throw new SecurityException("Not allowed!");
}
}
@Override
public void checkPackageAccess(String pkg) {
// 只允许反序列化标记为可信类包中的类
if (!classFilter.accept(pkg)) {
throw new SecurityException("Access denied!");
}
}
});
return in.readObject();
} finally {
System.setSecurityManager(null);
}
}
public interface ClassFilter {
boolean accept(String className);
static ClassFilter from(Set classNames) {
return className -> classNames.contains(className);
}
}
总结
Java反序列化是Java语言的一项基本功能,广泛应用于Java EE框架中,但也是切入点最多、漏洞最多的Java安全问题之一,如果没有适当的安全措施和防护机制,将会造成安全漏洞和损失。
在预防反序列化漏洞时,可以采取多项措施,如从源头入手保证序列化数据的合法、使用定义明确的反序列化机制、对反序列化过程进行安全限制等,以确保反序列化的安全性和稳定性。
