摘要：

0005，这个16进制流基本上也意味者java反序列化的开始；(2)HTTP：必有rO0AB，其实这就是aced0005的base64编码的结果；以上意味着存在Java反序列化，可尝试构造payload进行攻击。黑盒java的RMIRMI是java的一种远程对象(类)调用的服务端，默认于1099端口，基予socket通信，该通信实现远程调用完全基于序列化以及反序列化。白盒代码审计(1)观察实现了S

序列化与反序列化

序列化用途：方便于对象在网络中的传输和存储

果过期就删除。假设redis里放了10w个key，都设置了过期时间，你每隔几百毫秒，就检查10w个key，那redis基本上就死了，cpu负载会很高的，消耗在你的检查过期key上了。注意，这里可不是每

java的反序列化

序列化就是将对象转换为流，利于储存和传输的格式

ndom：当内存不足以容纳新写入数据时，在设置了过期时间的键空间中，随机移除某个key。volatile-ttl：当内存不足以容纳新写入数据时，在设置了过期时间的键空间中，有更早过期时间的key优先移

反序列化与序列化相反，将流转换为对象

本上也意味者java反序列化的开始；(2)HTTP：必有rO0AB，其实这就是aced0005的base64编码的结果；以上意味着存在Java反序列化，可尝试构造payload进行攻击。黑盒java的

例如：json序列化、XML序列化、二进制序列化、SOAP序列化

存？用内存当缓存。内存是无限的吗，内存是很宝贵而且是有限的，磁盘是廉价而且是大量的。可能一台机器就几十个G的内存，但是可以有几个T的硬盘空间。redis主要是基于内存来进行高性能、高并发的读写操作的。

序列化：java.io.ObjectOutputStream 类中的 writeObject()

过期key堆积在内存里，导致redis内存块耗尽了，咋整？答案是：走内存淘汰机制。内存淘汰机制redis内存淘汰机制有以下几个：noeviction:当内存不足以容纳新写入数据时，新写入操作会报错，这

该方法把对象序列化，将字节序列写到一个目标输出流中(.ser扩展名)

ers。RMI协议，被广泛使用的RMI协议完全基于序列化JMX同样用于处理序列化对象自定义协议用来接收与发送原始的java对象漏洞挖掘确定反序列化输入点首先应找出readObject方法调用，在找到之

反序列化：java.io.ObjectInputStream 类中的 readObject()

基本上就死了，cpu负载会很高的，消耗在你的检查过期key上了。注意，这里可不是每隔100ms就遍历所有的设置过期时间的key，那样就是一场性能上的灾难。实际上redis是每隔100ms随机抽取一些k

从输入流中读取字节序列，再将其反序列化为对象

，将字节序列写到一个目标输出流中(.ser扩展名)反序列化：java.io.ObjectInputStream类中的readObject()从输入流中读取字节序列，再将其反序列化为对象实现Serial

实现Serializable和Externalizable接口的类的对象才能被序列化。

是可以有几个T的硬盘空间。redis主要是基于内存来进行高性能、高并发的读写操作的。那既然内存是有限的，比如redis就只能用10G，你要是往里面写了20G的数据，会咋办？当然会干掉10G的数据，然后

漏洞危害

导致代码执行、文件操作、执行数据库操作等不可控后果

1,0.75f,true);CACHE_SIZE=cacheSize;}@OverrideprotectedbooleanremoveEldestEntry(Map.Entrye

漏洞原理

如果Java应用对用户输入，即不可信数据做了反序列化处理，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，非预期的对象在产生过程中就有可能带来任意代码执行。

可以通过扩展SecurityManager可以实现。面试题redis的过期策略都有哪些？内存淘汰机制都有哪些？手写一下LRU代码实现？面试官心理分析如果你连这个问题都不知道，上来就懵了，回答不出来，那

漏洞发现

存在于 WebLogic、WebSphere、JBoss、Jenkins、OpenNMS 等等

手写最原始的LRU算法，那个代码量太大了，似乎不太现实。不求自己纯手工从底层开始打造出自己的LRU，但是起码要知道如何利用已有的JDK数据结构实现一个Java版的LRU。classLRUCache&l

HTTP请求中的参数，cookies以及Parameters。

RMI协议，被广泛使用的RMI协议完全基于序列化

JMX 同样用于处理序列化对象

自定义协议 用来接收与发送原始的java对象

漏洞挖掘

确定反序列化输入点

首先应找出readObject方法调用，在找到之后进行下一步的注入操作。一般可以通过以下方法进行查找：

对象(类)调用的服务端，默认于1099端口，基予socket通信，该通信实现远程调用完全基于序列化以及反序列化。白盒代码审计(1)观察实现了Serializable接口的类是否存在问题。(2)观察重写

源码审计：寻找可以利用的“靶点”，即确定调用反序列化函数readObject的调用地点。

allkeys-lru：当内存不足以容纳新写入数据时，在键空间中，移除最近最少使用的key(这个是最常用的)。allkeys-random：当内存不足以容纳新写入数据时，在键空间中，随机移除某个key

对该应用进行网络行为抓包，寻找序列化数据，如wireshark,tcpdump等

通过以下方法进行查找：源码审计：寻找可以利用的“靶点”，即确定调用反序列化函数readObject的调用地点。对该应用进行网络行为抓包，寻找序列化数据，如wireshark,tcpdump等黑盒流量分

黑盒流量分析(可能面试)

下LRU代码实现？面试官心理分析如果你连这个问题都不知道，上来就懵了，回答不出来，那线上你写代码的时候，想当然的认为写进redis的数据就一定会存在，后面导致系统各种bug，谁来负责？常见的有两个问题

在Java反序列化传送的包中，一般有两种传送方式，在TCP报文中，一般二进制流方式传输，在HTTP报文中，则大多以base64传输。因而在流量中有一些特征：

何利用已有的JDK数据结构实现一个Java版的LRU。classLRUCacheextendsLinkedHashMap{privatefinalintCA

(1)TCP：必有aced0005，这个16进制流基本上也意味者java反序列化的开始；

数据？保留哪些数据？当然是干掉不常用的数据，保留常用的数据了。数据明明过期了，怎么还占用着内存？这是由redis的过期策略来决定。面试题剖析redis过期策略redis过期策略是：定期删除+惰性删除。

(2)HTTP：必有rO0AB，其实这就是aced0005的base64编码的结果；

据量大于指定的缓存个数的时候，就自动删除最老的数据。returnsize()>CACHE_SIZE;}}本文在米兜公众号链接:https://mp.weixin.qq.com/s/h3XyW1W

以上意味着存在Java反序列化，可尝试构造payload进行攻击。

写进redis的数据就一定会存在，后面导致系统各种bug，谁来负责？常见的有两个问题：往redis写入的数据怎么没了？可能有同学会遇到，在生产环境的redis经常会丢掉一些数据，写进去了，过一会儿可能

黑盒java的RMI

时候，redis会检查一下，这个key如果设置了过期时间那么是否过期了？如果过期了此时就会删除，不会给你返回任何东西。获取key的时候，如果此时key已经过期，就删除，不会返回任何东西。但是实际上这还

RMI是java的一种远程对象(类)调用的服务端，默认于1099端口，基予socket通信，该通信实现远程调用完全基于序列化以及反序列化。

用对用户输入，即不可信数据做了反序列化处理，那么攻击者可以通过构造恶意输入，让反序列化产生非预期的对象，非预期的对象在产生过程中就有可能带来任意代码执行。漏洞发现存在于WebLogic、WebSphe

白盒代码审计

策略来决定。面试题剖析redis过期策略redis过期策略是：定期删除+惰性删除。所谓定期删除，指的是redis默认是每隔100ms就随机抽取一些设置了过期时间的key，检查其是否过期，如果过期就删除

(1)观察实现了Serializable接口的类是否存在问题。

：方便于对象在网络中的传输和存储java的反序列化序列化就是将对象转换为流，利于储存和传输的格式反序列化与序列化相反，将流转换为对象例如：json序列化、XML序列化、二进制序列化、SOAP序列化序列

(2)观察重写了readObject方法的函数逻辑是否存在问题。

？可能有同学会遇到，在生产环境的redis经常会丢掉一些数据，写进去了，过一会儿可能就没了。我的天，同学，你问这个问题就说明redis你就没用对啊。redis是缓存，你给当存储了是吧？啥叫缓存？用内存

再考察应用的Class Path中是否包含Apache Commons Collections库

来最多能缓存多少数据**@paramcacheSize缓存大小*/publicLRUCache(intcacheSize){//true表示让linkedHashMap按照访问顺序来进行排序，最近访问

生成反序列化的payload

列化的payload提交我们的payload数据漏洞防御类的白名单校验机制：实际上原理很简单，就是对所有传入的反序列化对象，在反序列化过程开始前，对类型名称做一个检查，不符合白名单的类不进行反序列化操

提交我们的payload数据

是每隔100ms就随机抽取一些设置了过期时间的key，检查其是否过期，如果过期就删除。假设redis里放了10w个key，都设置了过期时间，你每隔几百毫秒，就检查10w个key，那redis基本上就死

漏洞防御

类的白名单校验机制：

将流转换为对象例如：json序列化、XML序列化、二进制序列化、SOAP序列化序列化：java.io.ObjectOutputStream类中的writeObject()该方法把对象序列化，将字节序列

实际上原理很简单，就是对所有传入的反序列化对象，在反序列化过程开始前，对类型名称做一个检查，不符合白名单的类不进行反序列化操作。很显然，这个白名单肯定是不存在Runtime的。

题就说明redis你就没用对啊。redis是缓存，你给当存储了是吧？啥叫缓存？用内存当缓存。内存是无限的吗，内存是很宝贵而且是有限的，磁盘是廉价而且是大量的。可能一台机器就几十个G的内存，但是可以有几

禁止JVM执行外部命令Runtime.exec

ze){//true表示让linkedHashMap按照访问顺序来进行排序，最近访问的放在头部，最老访问的放在尾部。super((int)Math.ceil(cacheSize/0.75)+1,0.7

这个措施可以通过扩展 SecurityManager 可以实现。

化对象，在反序列化过程开始前，对类型名称做一个检查，不符合白名单的类不进行反序列化操作。很显然，这个白名单肯定是不存在Runtime的。禁止JVM执行外部命令Runtime.exec这个措施可以通过扩