G.O.S.S.I.P 阅读推荐 2024-05-20 JDD

文章预览

今天我们要为大家推荐一篇来自IEEE S 2024的研究论文 Efficient Detection of Java Deserialization Gadget Chains via Bottom-up Gadget Search and Dataflow-aided Payload Construction ，由复旦大学系统软件与安全实验室和Johns Hopkins university的研究人员联合完成。 在这篇论文中，作者设计实现了一个自动化检测Java反序列化链的工具——JDD（Java Deserialization Vulnerability Detector的缩写），它能够有效地检测Java反序列化漏洞，找出gadget并链接成完整的反序列化链。说起反序列化，这个是一个方便但是危险的特性，在OWASP 2017 Top 10 安全风险中，不安全的反序列化排名第七。特别地，在Java语言中，序列化和反序列化可以很方便的存储和交换Java对象，但也面临着一个众所周知的严重安全漏洞：Java对象注入（Java Object Injection, JOI）。利用JOI漏洞，攻击者可以注入一个恶意构造的序列化对象，从而 ………………………………