期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息
共找到9篇文章
< 1 >
每页显示 20 50 100
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
显示方式:
基于字节码搜索的Java反序列化漏洞调用链挖掘方法 被引量:7
1
作者 杜笑宇 叶何 文伟平 《信息网络安全》 CSCD 北大核心 2020年第7期19-29,共11页
反序列化漏洞是近年来应用安全研究的热点之一。随着Java类库的功能不断更新和扩展,反序列化漏洞的潜在范围更加广泛。手工进行反序列化漏洞挖掘需要大量的时间和人力对调用链进行筛查和构造。文章介绍了Java反序列化漏洞的原理、常见... 反序列化漏洞是近年来应用安全研究的热点之一。随着Java类库的功能不断更新和扩展,反序列化漏洞的潜在范围更加广泛。手工进行反序列化漏洞挖掘需要大量的时间和人力对调用链进行筛查和构造。文章介绍了Java反序列化漏洞的原理、常见场景和反序列化漏洞调用链的构造方法,并结合常见的漏洞挖掘方法,提出一种调用链挖掘方法,同时将该方法实现为调用链挖掘工具Zero Gadget。文章方法采用污点分析与符号执行技术生成从反序列化漏洞入口点到危险函数的调用树,利用深度优先搜索算法搜索调用树并生成相关调用链。文章选取常见的Java基础库进行调用链挖掘效果的测试。实验结果表明,文章方法可成功挖掘潜在调用链并具有较高的准确率,对于反序列化漏洞调用链的自动化挖掘有着积极的意义。 展开更多
关键词 反序列化漏洞 调用链 Java漏洞挖掘
下载PDF
基于运行时检测的Java反序列化漏洞防御技术
2
作者 李玉林 陈力波 +2 位作者 刘宇江 杜文龙 薛质 《网络与信息安全学报》 2024年第2期154-164,共11页
反序列化漏洞自被发现以来,便受到安全研究者的广泛关注,越来越多的漏洞被爆出,给企业的网络安全带来严重挑战。Java语言多态、反射等特性,导致其反序列化漏洞利用链更加多变和复杂,带来了更大的防御和检测难度。因此,研究如何防御Java... 反序列化漏洞自被发现以来,便受到安全研究者的广泛关注,越来越多的漏洞被爆出,给企业的网络安全带来严重挑战。Java语言多态、反射等特性,导致其反序列化漏洞利用链更加多变和复杂,带来了更大的防御和检测难度。因此,研究如何防御Java反序列化漏洞攻击,成为网络防御的重要环节。通过对公开的众多Java反序列化漏洞进行研究,提出了基于运行时检测的Java反序列化漏洞防御技术方案。根据反序列化数据类型,将反序列化漏洞分为Java原生反序列化漏洞、JSON反序列化漏洞、XML反序列化漏洞、YAML反序列化漏洞4种类型,并针对每种类型的反序列化漏洞、归纳其漏洞利用过程中的反序列化入口函数;通过Java的运行时保护技术,对Java底层的敏感行为如命令执行进行监控,获取系统当前的运行时上下文信息;通过在上下文信息中匹配漏洞利用中的反序列化入口函数,来判断当前行为是否为反序列化漏洞的利用行为。在多个Java应用(如WebLogic、JBoss、Jenkins等)的测试结果表明,该方案能有效地对Java反序列化漏洞攻击行为进行防御,且不会对目标系统性能产生较大的影响。同时,在与其他主流防护方案的比较中,该方法显示出更好防护效果。 展开更多
关键词 反序列化漏洞 运行时保护 利用链 漏洞防御
下载PDF
基于混合分析的Java反序列化利用链挖掘方法 被引量:4
3
作者 武永兴 陈力波 姜开达 《网络与信息安全学报》 2022年第2期160-174,共15页
Java反序列化漏洞已经成为当下Java应用安全的常见威胁,其中能够找到反序列化利用链是该类型漏洞能否利用的关键。由于Java应用及依赖库的代码空间大和Java本身多态的问题,人工分析Java反序列化利用链,需消耗大量的时间和精力,且高度依... Java反序列化漏洞已经成为当下Java应用安全的常见威胁,其中能够找到反序列化利用链是该类型漏洞能否利用的关键。由于Java应用及依赖库的代码空间大和Java本身多态的问题,人工分析Java反序列化利用链,需消耗大量的时间和精力,且高度依赖分析人员的经验知识。因此,研究如何高效且准确地自动化挖掘反序列化利用链至关重要。提出了基于混合分析的Java反序列化利用链挖掘方法。根据变量声明类型构造调用图,通过调用图分析筛选可能到达危险函数的反序列化入口函数。将筛选出的入口函数作为混合信息流分析的入口,开展同时面向指针和污点变量的混合信息流分析,对隐式创建的对象标记污点,在传播指针信息的同时传播污点信息,构建混合信息流图。基于混合信息流图判断外部污点数据传播到危险函数的可达性。根据污点传播路径构造相应的反序列化利用链。混合分析兼顾了调用图分析的速度和混合信息流分析的精度。基于提出的混合分析方法,实现相应的静态分析工具——GadgetSearch。GadgetSearch在Ysoserial、Marshalsec、Jackson历史CVE、XStream历史CVE4个数据集上的误报率和漏报率比现有的工具Gadget Inspector低,并且发现多条未公开利用链。实验结果证明,所提方法能够在多个实际Java应用中高效且准确地挖掘Java反序列化利用链。 展开更多
关键词 反序列化漏洞 指针分析 污点分析 混合分析
下载PDF
基于攻击特征的Apache Shiro反序列化攻击检测模型 被引量:3
4
作者 冯美琪 韩杰 李建欣 《信息安全研究》 2022年第7期656-665,共10页
Apache Shiro框架作为广泛应用的安全框架,提供身份验证、授权、密码和会话管理等功能,但其反序列化漏洞易导致任意代码执行等问题,而现有检测方法存在误报较多的问题,因此提出了一种基于攻击特征的Apache Shiro反序列化漏洞攻击检测模... Apache Shiro框架作为广泛应用的安全框架,提供身份验证、授权、密码和会话管理等功能,但其反序列化漏洞易导致任意代码执行等问题,而现有检测方法存在误报较多的问题,因此提出了一种基于攻击特征的Apache Shiro反序列化漏洞攻击检测模型.通过分析正常情况及漏洞利用情况下网络包特征,归纳总结出4个攻击特征,并基于此构建模型检测Apache Shiro反序列化漏洞攻击,同时判断攻击是否疑似成功并流转至人工确认及处置环节.实验结果表明,该方法不但能检测Apache Shiro反序列化漏洞攻击,而且能够进一步确定攻击是否疑似成功,提高安全事件处置效率.与现有方法相比,该方法能够有效降低误报率,从而降低误处置率,减少对正常业务的影响. 展开更多
关键词 攻击特征 反序列化 漏洞检测 Apache Shiro 安全事件处置
下载PDF
Java反序列化漏洞研究 被引量:4
5
作者 郭瑞 《信息安全与技术》 2016年第3期27-30,共4页
2015年底,Apache Commons Collections基础类库的Java反序列化漏洞,对全球基于Java技术的Web容器造成巨大影响。论文通过对序列化和反序列化的过程进行分析,详细剖析了利用反序列化漏洞实施远程代码执行攻击的原理,并提出安全性检查是... 2015年底,Apache Commons Collections基础类库的Java反序列化漏洞,对全球基于Java技术的Web容器造成巨大影响。论文通过对序列化和反序列化的过程进行分析,详细剖析了利用反序列化漏洞实施远程代码执行攻击的原理,并提出安全性检查是应对该类漏洞的有效方式。 展开更多
关键词 序列化 反序列化漏洞 远程代码执行 安全性检查
下载PDF
基于Java Web的反序列化信息安全漏洞挖掘研究 被引量:1
6
作者 张晨 《成都航空职业技术学院学报》 2022年第3期50-53,共4页
信息安全已成为国家安全的关键环节,强化信息安全、保护用户数据安全的重要性不言而喻。由于开发语言和程序设计的缺陷以及相关组件存在风险,Web应用中的信息安全漏洞问题时有发生,使得信息安全以及用户隐私和数据安全遭受到严重的威胁... 信息安全已成为国家安全的关键环节,强化信息安全、保护用户数据安全的重要性不言而喻。由于开发语言和程序设计的缺陷以及相关组件存在风险,Web应用中的信息安全漏洞问题时有发生,使得信息安全以及用户隐私和数据安全遭受到严重的威胁。随着Web技术和Java语言的发展愈加成熟,JavaWeb的使用也越来越广泛,针对JavaWeb的网络攻击手段也变得层出不穷。文章分析了JavaWeb反序列化漏洞的基本成因,从漏洞挖掘的角度出发,分析了漏洞利用链的重要节点,并构造复现了漏洞挖掘和利用的过程,对于如何快速、有效检测出JavaWeb反序列化漏洞,保障Web信息安全具有重要参考价值与意义。 展开更多
关键词 信息安全 反序列化 Java Web技术 漏洞分析
下载PDF
Java反序列化漏洞利用工具的实现 被引量:1
7
作者 赵长松 余华兴 +2 位作者 贺胜 董纬 王玉 《重庆电力高等专科学校学报》 2017年第3期49-53,共5页
通过对Java反序列化漏洞形成原因及利用原理的研究,结合RMI编程技术,自主设计漏洞扫面及漏洞利用算法,并实现了针对WebLogic中间件的漏洞利用工具,包含自动扫描探测漏洞以及系统命令执行、文件上传等功能。通过实际测试,该工具能准确地... 通过对Java反序列化漏洞形成原因及利用原理的研究,结合RMI编程技术,自主设计漏洞扫面及漏洞利用算法,并实现了针对WebLogic中间件的漏洞利用工具,包含自动扫描探测漏洞以及系统命令执行、文件上传等功能。通过实际测试,该工具能准确地发现存在的漏洞主机并有效地利用漏洞执行相关操作,在一定程度上可帮助运维人员及时修补安全隐患,提高业务系统防护水平。 展开更多
关键词 反序列化 RMI 漏洞扫描 漏洞利用 WEBLOGIC
下载PDF
基于混合分析的Java反序列化漏洞检测方法
8
作者 郑鹏 沙乐天 《计算机工程》 CAS CSCD 北大核心 2023年第12期136-145,共10页
随着Java的类库越来越多,反序列化漏洞的类型和数量都急剧上升。Java反序列化漏洞中存在利用链,攻击者通常将其与任意命令漏洞结合控制服务器。人工检测反序列化链需要花费大量的精力,且依赖代码审计人员的专业知识。基于符号执行和污... 随着Java的类库越来越多,反序列化漏洞的类型和数量都急剧上升。Java反序列化漏洞中存在利用链,攻击者通常将其与任意命令漏洞结合控制服务器。人工检测反序列化链需要花费大量的精力,且依赖代码审计人员的专业知识。基于符号执行和污点分析提出一种自动检测方法,实现调用链检测工具Taint Gadget。通过解析字节码收集继承信息、传参信息和调用信息进行污点标记,筛选出入口函数和危险函数以生成控制流图。基于反序列化漏洞的传播特征并结合符号执行技术扩展控制流图,定义污点传播规则,对污染传播的显示流路径和隐式流路径进行约束,记录传播过程中调用链的类和敏感变量,通过动态的方法还原污染路径并进行验证。方法的实现基于ASM、Neo4j、Z3等工具,包括污点标记模块、污点传播模块和污点验证模块。在ysoserial数据集上的实验结果表明,Taint Gadget的静态命中率和运行时间分别为70.3%和78.4 s,动态命中率和运行时间分别为90.6%和20.8 s,相对T-Gadget Inspector和Gadget Inspector有效提高了静态和动态命中率,缩短了动态运行时间。 展开更多
关键词 污点分析 Java反序列化漏洞 静态分析 动态验证 符号执行 约束构建
下载PDF
Java反序列化漏洞探析及其修复方法研究 被引量:2
9
作者 徐江珮 王捷 +1 位作者 蔡攸敏 刘畅 《湖北电力》 2016年第11期47-50,共4页
为避免利用Java反序列化漏洞影响企业核心业务、产生重大信息安全事件,详细介绍了Java反序列化漏洞的背景、原理、漏洞利用方法及工具,通过一个具体实例给出利用该漏洞进行服务器主机系统提权的详细步骤,并提出了多种漏洞修复方法。
关键词 Java反序列化漏洞 漏洞利用 信息安全
下载PDF
已选择0
导出题录 引用分析
参考文献
引证文献
 统计分析
检索结果
已选文献
上一页 1 下一页 到第
使用帮助 返回顶部