您现在的位置:首页 --> 查看专题: 反序列化
2015年12月15日国内各大安全厂商都从国外站点上关注到一条关于Joomla远程代码执行漏洞的内容,原文可以看这里。之后开启了一轮漏洞分析大战,比快,比准,比嘲讽。
而作为对于PHP SESSION序列化机制不怎么了解的我,就兴奋的阅读着各家的分析来学习这个漏洞的原理。虽然这些分析文章帮助我重现了这个漏洞的利用,并且貌似解释清楚了原理,但是,有一个问题我还是没有在这些文章中找出。
不久前,网络安全人员再一次在黑产面前遭到重挫,Joomla曝高危0Day漏洞,无需用户登陆就能触发。Joomla漏洞在官方发布升级版和补丁之前,已经在各种地下黑色产业链中流传了一段时间,恐怕并且已经有不少网站被黑客拿下。 这个恶意代码的进入点是用户代理字符串,这是每个浏览器都在广而告之的内容:让浏览器知道用户的技术结构从而为站点提供最佳或最合适的版本。很显然这个字符串存储于Joomla数据库中,但并没有被清洁处理以检测恶意代码。攻击者能够通过能够播报虚假用户代理字符串的方式利用特殊app和脚本拉力轻易编制一个定制化字符串并将恶意代码附着,这个安全隐患是在PHP中session是通过序列化存储的。
前一段时间热炒的Java反序列化漏洞,大家在玩的很嗨的时候貌似忽略了一件很重要的事情——Java在cs架构的设计中使用序列化传输是非常普遍的现象,而在像JBoss这种中间件也使用这种设计。所以,我在一边研究这个漏洞,一边看大家嗨嗨的玩的同时,也很好奇在一些通过Java实现的CS架构应用(比如:大型国企都喜欢用的会计软件、内容发布系统),是不是也会用到Apache Commons Collections这个库。
不知道是不是研究Java Web的大神们都在闷声发大财,这次这个漏洞的分析文章大多都停留在那个老外blog中的各个中间件的利用玩法上,却没有注意到Java Web中常见的架构都会因为这个问题而沦陷。而且除了长亭之外的文章,其他各家的修复建议大多都是针对利用来进行修复,治标不治本。
[ 共3篇文章 ][ 第1页/共1页 ][ 1 ]
近3天十大热文
- [45] 界面设计速成
- [40] Oracle MTS模式下 进程地址与会话信
- [40] 视觉调整-设计师 vs. 逻辑
- [36] IOS安全–浅谈关于IOS加固的几种方法
- [35] 如何拿下简短的域名
- [35] 程序员技术练级攻略
- [34] android 开发入门
- [34] 图书馆的世界纪录
- [33] 【社会化设计】自我(self)部分――欢迎区
- [31] 读书笔记-壹百度:百度十年千倍的29条法则
赞助商广告