V
主页
【熟肉】Joern开发者带你深入Java反序列化链以及其结合静态分析的挖掘思路
发布人
原视频:https://www.youtube.com/watch?v=8qo0ZGK0tt0 会议信息:https://pretalx.com/bsides-cape-town-2023/talk/N7WFKX/ PDF:https://whirlylabs.com/pdf/bsides2023.pdf 《Java 反序列化漏洞(五) - ROME/BeanShell/C3P0/Clojure/Click/Vaadin》:https://su18.org/post/ysoserial-su18-5/ 《Java 关于readObject和defaultReadObject的区别和相关序列化以及单例序列化的知识点》:https://www.cnblogs.com/zpchcbd/p/15126154.html 这个视频是关于Java反序列化漏洞的演讲,由Fabian Yamaguchi和David Baker Effendi进行。以下是视频内容的总结: 演讲者介绍: Fabian Yamaguchi是Whirly Labs的联合创始人和CTO,Stellenbosch大学计算机安全的兼职教授,Qwiet.ai的首席科学家,以及德国黑客组织Pheenoelit的成员。他在网络安全领域有超过15年的经验,是代码属性图的发明者和开源代码分析平台Joern的首席开发者。 David Baker Effendi是Whirly Labs的研发总监,领导团队开发内部程序分析工具,以提高程序审计的效率。他在Joern静态分析框架中做出了重要贡献,并在学术界和科技产业界都有所成就。 演讲主题:“Forging Chains: The Java Blacksmith”,讨论了Java反序列化漏洞的问题,特别是关于修补漏洞链的争议。 反序列化漏洞的背景: 演讲者指出,当程序出现缓冲区溢出时,开发者会修复这个问题,无论它是否可被利用。然而,对于反序列化漏洞,开发者往往不愿意放弃这种在进程间传递对象的灵活方式,除非有明确的漏洞链表明漏洞可被利用。 漏洞链的修补争议: 演讲者批评了Java领域中的一种双重标准,即CVE分配给漏洞链,而在C/C++领域看来这似乎是荒谬的。他们认为,如果依赖项是最新的,没有已知的漏洞链可供攻击者利用,那么就应该认为是安全的。 工具介绍: 演讲者介绍了他们开发的工具“gadgetfx”,它能够从Java类路径上的任意类组合中自动提取漏洞链。这个工具基于现有的概念验证工作和十年的代码分析工具开发经验,能够处理大型真实世界的代码库,并进行足够的分析以产生有效的链。 工具的效能和挑战: 演讲者讨论了构建此类工具所面临的主要挑战,并展示了它在真实世界应用程序上的效能。 实际案例分析: 通过实际案例,演讲者展示了如何利用Java反序列化漏洞进行代码执行。 安全建议: 演讲者建议,与其修补漏洞链,不如限制反序列化过程。他们强调,反序列化任意攻击者控制的对象才是漏洞的根本原因,而不是漏洞链本身。 开源项目和未来工作: 演讲者提到了他们的工作是开源的,并鼓励社区贡献。他们还提到了未来的工作方向,包括使用数据流进行有效的静态分析,以及使用符号执行和模糊测试的方法。 问题环节: 演讲结束后,演讲者接受了观众的提问,讨论了关于漏洞修补、漏洞链的自动化拆分、以及如何使用CGLib进行有益的改进等话题。 整体而言,这个视频提供了对Java反序列化漏洞深入的技术分析,并介绍了一种新的工具,用于自动化地从Java类路径中的类提取漏洞链,强调了反序列化漏洞的实际风险和行业对这类漏洞处理方式的问题。
打开封面
下载高清视频
观看高清视频
视频下载器
【熟肉】CodeQL简介以及华为内部CPG结合DSL的静态代码分析工具实现
【熟肉】手把手教你使用CodeQL挖掘Apache Dubbo RCE漏洞
Java反序列化-CommonsCollection5反序列化链
【熟肉】ODDFuzz-基于程序分析和Fuzz融合的Java反序列化漏洞挖掘技术
【熟肉】利用CodeQL挖掘Java反序列化gadget链
【熟肉】攻击者视角:黑入阿里云内部Kubernetes环境洞察其安全性
【熟肉】探索CodeQL底层细节并添加二进制分析和调试器功能
【熟肉】从Java到C语言的漏洞链:解析差异下的指令注入和Use-After-Free利用
【熟肉】FastJson 反序列化漏洞及在区块链应用中的渗透利用
【熟肉】深入竞态条件揭秘高级攻击技巧-并实践挖掘GitLab漏洞
【熟肉】真实场景中的JDBC漏洞利用新思路
【熟肉】静态分析生成PHP调用图以删除无用代码消解潜在漏洞
【BCS2022】静态分析源代码表示形式和一些新兴分析技术的概述
【熟肉】反向Fuzz:如何大规模挖掘配置不当导致的“影子漏洞 ”
【熟肉】Chromium客户端应用安全:Electron客户端漏洞挖掘到V8 32位通用UAF利用
【熟肉】黑客人物访谈:高危严重漏洞挖掘方法论以及安全行业心路历程
深入探讨并实战挖掘正则表达式缺陷下的过滤绕过
【BCS2022】源代码静态分析检测工具技术原理
【熟肉】多种技巧绕过基于正则匹配的WAF
Struts2请求流程与S2-066漏洞深入分析
【熟肉】RASP中的Java Agent原理以及其绕过和防御手法
【熟肉】.NET反序列化漏洞中的序列化Gadget利用新思路
彻底理解Kerberos认证
【BCS2022】探索JNDI攻击
【BCS2022】 HDiff: 基于HTTP RFC挖掘语义岐义漏洞的半自动框架
【BCS2021】原生安全之Java RPC序列化协议破解
【熟肉】谷歌云安全大奖揭秘顶尖白帽的云端攻防战
【熟肉】如何赚走203,000美元:利用沙箱逃逸和路径遍历攻破Azure HealthBot
爬遍全网数据,我叒用AI预测了2024年高考作文题【图灵计划-年更篇】
【BCS2021】开源代码漏洞研究
【熟肉】通过S3存储桶配置错误获取20000美元漏洞赏金
不降价就死?调研了40多家大模型,我发现了致命问题
SCSA安全工程师认证-网络安全与通讯(谷安郝君)
【BCS2022】WAF检测技术分析
【暑假甄选】B站大学终于把算法与数据结构做成动画片了,一周刷爆LeetCode,2024最新版,学完即就业!拿走不谢,学不会我退出IT圈!
【KUAE夸娥】摩尔线程千卡出击!千亿大模型国产算力基座就位!
穿越地球要多少跳
为了打明白游戏,我们给《黑神话悟空》做了一本“妖怪图鉴”【差评君】
本周前瞻科技与AI新技术盘点👨🏻💻
这回脑袋上真长上摄像头了🙉,AI眼镜能带来啥体验?