溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

JAVA與Android 世界級(jí)序列化危機(jī)與應(yīng)對(duì)方案

發(fā)布時(shí)間:2020-07-27 14:52:48 來(lái)源:網(wǎng)絡(luò) 閱讀:394 作者:星恒Android 欄目:移動(dòng)開(kāi)發(fā)
JAVA序列化危機(jī)

Apache Commons Collection 中的反序列化漏洞在 2016 年撼動(dòng)了整個(gè)Java 生態(tài)系統(tǒng),也影響到了 70 余個(gè)其他的 Java 庫(kù),甚至還讓 PayPal 的服務(wù)器遭受影響。
OWASP組織將“不安全的反序列化”列為2017年10項(xiàng)最嚴(yán)重的Web 應(yīng)用程序安全風(fēng)險(xiǎn)榜的第8位。

Android 反序列化漏洞 CVE-2014-7911

Android <5.0系統(tǒng)中,可以利用ObjectInputStream未校驗(yàn)是否可反序列化的漏洞,惡意傳入不可序列化對(duì)象將產(chǎn)生類(lèi)型混淆,成員變量被當(dāng)成指針向system_server進(jìn)程注入代碼,由于system_server擁有system權(quán)限,從而使得注入的代碼以system權(quán)限執(zhí)行。

序列化代理模式

由于使用序列化在整個(gè)行業(yè)的巨大風(fēng)險(xiǎn),在java取消或使用新的替代品之前,最好對(duì)序列化行為進(jìn)行代理,可以阻止偽字節(jié)流***和內(nèi)部域盜用***,避免造成重大損失。

java的隱藏方法

隱藏方法介紹:
readObject()和writeObject(),可以自定義序列化傳輸過(guò)程,例如在前后添加自定義內(nèi)容,或者直接修改返回結(jié)果;可以在readObject添加保護(hù)性代碼,校驗(yàn)是否真實(shí)結(jié)果。

writeReplace():實(shí)際序列化的對(duì)象將是作為writeReplace方法返回值的對(duì)象,而且序列化過(guò)程的依據(jù)是實(shí)際被序列化對(duì)象的序列化實(shí)現(xiàn)。

readResolve():在類(lèi)中有多個(gè)實(shí)例時(shí),可以通過(guò)該方法去決定反序列化后的結(jié)果。

在Serializable接口定義中并無(wú)這些方法,實(shí)際是ObjectOutputStream使用了反射來(lái)尋找是否聲明了這些隱藏方法再進(jìn)行調(diào)用。

使用隱藏方法實(shí)現(xiàn)序列化代理模式

參照Effective Java序列化代理模式如下:

public class Interval implements Serializable {
    private final Date start;
    private final Date end;

    public Interval(Date start, Date end) {
        this.start = new Date(start.getTime());
        this.end = new Date(end.getTime());
        if (this.start.compareTo(this.end) > 0)
            throw new IllegalArgumentException(start + " after " + end);
    }


//提供序列化方法
    private Object writeReplace() {
    return new SerializationProxy(this);
    }

//禁止反序列化外圍類(lèi)
private void readObject(ObjectInputStream ois) throws InvalidObjectException {
    throw new InvalidObjectException("Proxy required!");
}

    public Date getStart() {return new Date(start.getTime());}
    public Date getEnd() {return new Date(end.getTime());}

    @Override
    public String toString() {
        return "Interval{" + "start=" + start + ", end=" + end + '}';
    }

    private static class SerializationProxy implements Serializable {
        private static final long serivalVersionUID = 213214124141L;
        private final Date start;
        private final Date end;

        SerializationProxy(Interval interval) {
            this.start = interval.start;
            this.end = interval.end;
        }
//轉(zhuǎn)回外圍類(lèi)
private Object readResolve() {
    return new Interval(start, end);
}
    }
}
注意應(yīng)用場(chǎng)景和使用的缺陷

1 擴(kuò)展性差,需要同步修改實(shí)例對(duì)象和代理對(duì)象。
2 如果直接使用代理類(lèi),無(wú)法調(diào)用對(duì)象方法,需要轉(zhuǎn)換成實(shí)際類(lèi)使用。
3 安全但開(kāi)銷(xiāo)更大。

向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI