1)下载与当前大版本相同的commons-collections包(原来是3.2.x就替换为3.2.2,原来是4.x就替换为4.4.1) 下载链接:http://commons.apache.org/proper/commons-collections/download_collections.cgi 2)解压出其中的commons-collections-x.x.x.jar 3)找到domain对应目录下的commons-collections.*.jar(*表示空或版本号)对其进行备份 4)…

Jboss.Websphere和weblogic的反序列化漏洞已经出来一段时间了,还是有很多服务器没有解决这个漏洞: 反序列化漏洞原理参考:JAVA反序列化漏洞完整过程分析与调试 这里参考了网上的 Java反序列化工具 - Java Deserialization Exp Tools ,来检测weblogic服务器反序列化漏洞: 该工具可以检测weblogic.jboss.websphere服务器,下载地址:http://pan.baidu.com/s/1miKplsW 如图上所示,输入webl…

MyObject类建立了Serializable模块,而且重新写过了readObject()变量,仅有建立了Serializable模块的类的目标才能够被实例化,沒有建立此模块的类将无法使他们的任意状态被实例化或逆实例化.这儿的readObject()方法的功能是以1个源键入流中载入字节数编码序列,再把他们反序列化为1个目标,并将其回到,readObject()是能够重新写过的,因而能够订制反序列化的某些情形,从而能够用于开展漏洞检测,例如这儿的命令实行. 0x03JBoss反序列化漏洞重现 W…

一.漏洞描述   国外 FoxGlove 安全研究团队于2015年11月06日在其博客上公开了一篇关于常见 Java 应用如何利用反序列化操作进行远程命令执行的文章.原博文所提到的 Java 应用都使用了 Apache Commons Collections 这个库,并且都存在一个序列化对象数据交互接口能够被访问到.针对每个应用,博文都提供了相应的分析和验证代码来说明 Java 应用存在远程命令执行的普遍性.     二.漏洞危害   机器上一旦有使用上述应用,即处于“裸奔”状态,黑客可随时利用…

相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 http://www.tuicool.com/articles/ZvMbIne http://www.freebuf.com/vuls/86566.html http://sec.chinabyte.com/435/13618435.shtml http://www.myhack58.com/Articl…

ref:https://xz.aliyun.com/t/2043 小结: 3.2.2版本之前的Apache-CommonsCollections存在该漏洞(不只该包)1.漏洞触发场景 在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景: 1)HTTP请求中的参数,cookies以及Parameters. 2)RMI协议,被广泛使用的RMI协议完全基于序列化 4)JMX 同样用于处理序列化对象 5)自定义协议 用来接收与发送原始的java对象 2. 漏洞挖掘…

转http://blog.chaitin.com/ 1 背景 2 Java反序列化漏洞简介 3 利用Apache Commons Collections实现远程代码执行 4 漏洞利用实例 4.1 利用过程概述 4.2 WebLogic 4.3 Jenkins 4.4 Jboss 4.5 WebSphere 4.6 其它 5 漏洞影响 6 修复建议 7 参考资料 1 背景 2015 年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如…

本文首发自https://www.secpulse.com/archives/95012.html,转载请注明出处. 前言 什么是序列化和反序列化 Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据.有关对象的类型的信息和存储在对象中数据的类型.反序列化就是通过序列化后的字段还原成这个对象本身.但标识不被序列化的字段是不会被还原的. 序列化有什么用 1)网站相应的session对象存储在硬盘上,那么保存在session中的内容就必须实现相…

通过HTTP头部字段防御措施整理 X-Frame-Options #反劫持 X-XSS-Protection #开启浏览器防XSS功能 Set X-Frame-Options  CSP X-Content-Type-Options: nosniff #改会影响浏览器的行为,过滤掉敏感文件 Content-Encoding #Breach攻击 robots.txt 注入 预编译 文件上传 后端代码限制上传的文件类型(类型&后缀)和大小 强制给上传的文件添加后缀名 命令执行 禁用或过滤代码执行函数…

原文:http://blog.chaitin.com/2015-11-11_java_unserialize_rce/ 博主也是JAVA的,也研究安全,所以认为这个漏洞非常严重.长亭科技分析的非常细致. 1 背景 2015年11月6日,FoxGlove Security安全团队的@breenmachine 发布的一篇博客[3]中介绍了如何利用Java反序列化漏洞,来攻击最新版的WebLogic.WebSphere.JBoss.Jenkins.OpenNMS这些大名鼎鼎的Java应用,实现远程代码…