文章预览
这段常态化时期,每天都整理和学习历年能打穿小朋友的漏洞,本文转载自 https://xz.aliyun.com/t/13389 这篇文章是关于FineBI软件中的反序列化漏洞的分析。以下是对文章内容的总结: 漏洞概述 : 漏洞存在于FineBI的 /webroot/decision/remote/design/channel 接口。 该接口接收POST方法传输的数据,首先通过 GZIPInputStream 进行解压缩,然后使用 CustomObjectInputStream 包装并调用 readObject() 方法实现反序列化。 漏洞利用过程 : 攻击者需要构造序列化数据,并通过gzip压缩后发送到漏洞接口。 构造序列化数据可以利用Hibernate链或Commons Collections(cb链)等技术。 示例代码 : 文章提供了构造Hibernate链的Java代码示例,展示了如何利用反射和字节码技术构造恶意的序列化数据。 反序列化绕过 : 官方修复漏洞的方式是增加反序列化黑名单,禁止了一些类的反序列化,包括cb、hiberna
………………………………
