V
主页
【熟肉】Joern开发者带你深入Java反序列化链以及其结合静态分析的挖掘思路
发布人
原视频:https://www.youtube.com/watch?v=8qo0ZGK0tt0 会议信息:https://pretalx.com/bsides-cape-town-2023/talk/N7WFKX/ PDF:https://whirlylabs.com/pdf/bsides2023.pdf 《Java 反序列化漏洞(五) - ROME/BeanShell/C3P0/Clojure/Click/Vaadin》:https://su18.org/post/ysoserial-su18-5/ 《Java 关于readObject和defaultReadObject的区别和相关序列化以及单例序列化的知识点》:https://www.cnblogs.com/zpchcbd/p/15126154.html 这个视频是关于Java反序列化漏洞的演讲,由Fabian Yamaguchi和David Baker Effendi进行。以下是视频内容的总结: 演讲者介绍: Fabian Yamaguchi是Whirly Labs的联合创始人和CTO,Stellenbosch大学计算机安全的兼职教授,Qwiet.ai的首席科学家,以及德国黑客组织Pheenoelit的成员。他在网络安全领域有超过15年的经验,是代码属性图的发明者和开源代码分析平台Joern的首席开发者。 David Baker Effendi是Whirly Labs的研发总监,领导团队开发内部程序分析工具,以提高程序审计的效率。他在Joern静态分析框架中做出了重要贡献,并在学术界和科技产业界都有所成就。 演讲主题:“Forging Chains: The Java Blacksmith”,讨论了Java反序列化漏洞的问题,特别是关于修补漏洞链的争议。 反序列化漏洞的背景: 演讲者指出,当程序出现缓冲区溢出时,开发者会修复这个问题,无论它是否可被利用。然而,对于反序列化漏洞,开发者往往不愿意放弃这种在进程间传递对象的灵活方式,除非有明确的漏洞链表明漏洞可被利用。 漏洞链的修补争议: 演讲者批评了Java领域中的一种双重标准,即CVE分配给漏洞链,而在C/C++领域看来这似乎是荒谬的。他们认为,如果依赖项是最新的,没有已知的漏洞链可供攻击者利用,那么就应该认为是安全的。 工具介绍: 演讲者介绍了他们开发的工具“gadgetfx”,它能够从Java类路径上的任意类组合中自动提取漏洞链。这个工具基于现有的概念验证工作和十年的代码分析工具开发经验,能够处理大型真实世界的代码库,并进行足够的分析以产生有效的链。 工具的效能和挑战: 演讲者讨论了构建此类工具所面临的主要挑战,并展示了它在真实世界应用程序上的效能。 实际案例分析: 通过实际案例,演讲者展示了如何利用Java反序列化漏洞进行代码执行。 安全建议: 演讲者建议,与其修补漏洞链,不如限制反序列化过程。他们强调,反序列化任意攻击者控制的对象才是漏洞的根本原因,而不是漏洞链本身。 开源项目和未来工作: 演讲者提到了他们的工作是开源的,并鼓励社区贡献。他们还提到了未来的工作方向,包括使用数据流进行有效的静态分析,以及使用符号执行和模糊测试的方法。 问题环节: 演讲结束后,演讲者接受了观众的提问,讨论了关于漏洞修补、漏洞链的自动化拆分、以及如何使用CGLib进行有益的改进等话题。 整体而言,这个视频提供了对Java反序列化漏洞深入的技术分析,并介绍了一种新的工具,用于自动化地从Java类路径中的类提取漏洞链,强调了反序列化漏洞的实际风险和行业对这类漏洞处理方式的问题。
打开封面
下载高清视频
观看高清视频
视频下载器
【熟肉】利用CodeQL挖掘Java反序列化gadget链
【熟肉】深入浅出之静态分析入门指南
【熟肉】手把手教你使用CodeQL挖掘Apache Dubbo RCE漏洞
【熟肉】CodeQL简介以及华为内部CPG结合DSL的静态代码分析工具实现
【熟肉】静态分析生成PHP调用图以删除无用代码消解潜在漏洞
【熟肉】静态分析工具Joern原理分析及0Day漏洞挖掘
【熟肉】真实场景中的JDBC漏洞利用新思路
【熟肉】深入竞态条件揭秘高级攻击技巧-并实践挖掘GitLab漏洞
4-文件操作类挖掘(下)
【熟肉】ODDFuzz-基于程序分析和Fuzz融合的Java反序列化漏洞挖掘技术
【熟肉】FastJson 反序列化漏洞及在区块链应用中的渗透利用
【熟肉】反向Fuzz:如何大规模挖掘配置不当导致的“影子漏洞 ”
【熟肉】.NET反序列化漏洞中的序列化Gadget利用新思路
【BCS2022】源代码静态分析检测工具技术原理
【熟肉】探索CodeQL底层细节并添加二进制分析和调试器功能
深入探讨并实战挖掘正则表达式缺陷下的过滤绕过
【BCS2022】静态分析源代码表示形式和一些新兴分析技术的概述
【熟肉】攻击 .NET 反序列化 - Alvaro Muñoz(pwntester)
【熟肉】从Java到C语言的漏洞链:解析差异下的指令注入和Use-After-Free利用
【BCS2022】探索JNDI攻击
第十九课-系统学习代码审计:Java反序列化基础-分析简易版fastjson的实现思路,为后续分析fastjson做铺垫
【熟肉】实战利用RESTler进行API Fuzzing挖掘漏洞
【熟肉】黑客人物访谈:高危严重漏洞挖掘方法论以及安全行业心路历程
第十八课-系统学习代码审计:Java反序列化基础-原生方式的序列化和反序列化简单使用
第4课 基本放大电路-共射(静态分析)
Struts2请求流程与S2-066漏洞深入分析
5-鉴权安全问题审计《JAVA代码审计实战》
【BCS2021】原生安全之Java RPC序列化协议破解
【熟肉】RASP中的Java Agent原理以及其绕过和防御手法
【熟肉】谷歌云安全大奖揭秘顶尖白帽的云端攻防战
【熟肉】Chromium客户端应用安全:Electron客户端漏洞挖掘到V8 32位通用UAF利用
【熟肉】攻击者视角:黑入阿里云内部Kubernetes环境洞察其安全性
【BCS2022】 HDiff: 基于HTTP RFC挖掘语义岐义漏洞的半自动框架
彻底理解Kerberos认证
【熟肉】多种技巧绕过基于正则匹配的WAF
关于代码审计中rce与shell的关系
【Java安全】内存马专题之Servlet马
【熟肉】通过S3存储桶配置错误获取20000美元漏洞赏金
【BCS2021】开源代码漏洞研究
【BCS2022】WAF检测技术分析
