fastjson反序列化漏洞_漏洞预警Fastjson再爆反序列化代码执行漏洞;星巴克被发现存在信息泄露风险...
漏洞预警
Fastjson再次爆出通杀的反序列化代码执行漏洞
漏洞信息
据态势感知平台监测,网络上再次出现此前未曾发现的fastjson反序列化攻击向量。
Fastjson是由阿里巴巴推出基于Java语言的高性能json操作库,由于速度快、支持功能丰富,颇受开发者的喜爱,在国内应用极为广泛。但近年来由于反序列化漏洞的威力被从业人员逐渐认可,越来越多的攻击者开始挖掘基础组件的反序列化漏洞。
影响版本
astjson <= 1.2.68
fastjson sec版本 <= sec9
漏洞分析
在业务环境中,经常会有传递一个对象的需求,此时需要将内存中存储的对象通过网络传输,通常会将对象所有的成员变量转储成字符串(本例中即为json格式)通过HTTP/HTTPS协议传送,在到达对端后,重新将相同的类实例化,并将所有的成员变量一一赋值,即可在本地得到一个与对端相同的对象。字符串还原对象的过程称之为反序列化。
此功能虽然提高了开发效率,但同样带来了安全问题,在早期的反序列化功能中,并不会反序列化的类做限制,函数会无条件的反序列化对端传来的数据。由于反序列化是递归的,且可以实例化当前堆栈中的所有存在的类。这导致攻击者可以寻找一些常见的、具有代码执行、文件读取等功能函数的工具类,即可远程操控服务器。且由于不能强制控制用户反序列化的类,开发者只能通过黑名单的方式,将每次攻击者发现的新的反序列化链条禁止来修复漏洞,这就导致了防御者一直处于被动的地位。
如上所述,fastjson采用黑白名单的方法来防御反序列化漏洞,导致当黑客不断发掘新的反序列化Gadgets类时,在autoType关闭的情况下仍然可能可以绕过黑白名单防御机制,造成远程命令执行漏洞。经分析该漏洞利用门槛较低,可绕过autoType限制,风险影响较大。
星巴克被发现存在约1亿用户的信息泄露风险
漏洞信息
一位白帽子在星巴克为朋友购买生日礼物时,意外的发现了一个可疑的接口,经过探测,最终得到了一个存在未授权访问的Microsoft Graph实例。
此实例上存储了约一亿用户的个人信息。
漏洞分析
此问题是由于反向代理的不当配置所致,白帽子首先探测出该网站架构为:
这意味“ app.starbucks.com”主机无法访问通过特定端点访问的逻辑或数据,但似乎可以将其充当假设的第二个主机(internal.starbucks.com)的代理或中间人。
在经过一些试错与绕过waf的工作后,该白帽子发现似乎可以通过:
/bff/proxy/v1/me/streamItems/web\..\.\..\.\..\.\..\.\..\.\..\.\..\
访问到根目录,最后经过一些爆破与目录猜解工作,发现了星巴克用于存储用户数据的Microsoft Graph库:
/bff/proxy/stream/v1/users/me/streamItems/web\..\.\..\.\..\.\..\.\..\.\..\.\search\v1\Accounts\
通过调用count接口,确认了数据条数为99356059条。
{
"@odata.context": "https://redacted.starbucks.com/Search/v1/$metadata#Accounts",
"@odata.count":99356059
}
所幸的是,星巴克官方快速的修复这一问题,也没有证据表明这些数据遭到了泄露。
本周安全态势分析
本周发生的事件有fastjson出现反序列化漏洞与星巴克信息泄露风险,可造成命令执行与大规模信息泄露等严重问题。Fastjson作为常用的json库,在各种应用广泛使用,且可直接远程执行命令,星巴克的信息泄露暴露企业内网中的脆弱性,且数据量较大。
1反序列化漏洞近年来越发流行,是近年来比较新式的攻击手段,开发者通常并不会主动的配置白名单来约束反序列化函数的使用,且开发者的防御手段只是简单的黑名单过滤类名。每次新的链条出现就要更新黑名单,过于被动,较好的解决办法还是要使用基于行为的监控。2星巴克的信息泄露问题本质是反向代理的配置不当引起的。但同时也暴露的企业内网中糟糕的安全机制,本例中即使攻击者有限制的突破了边界,但是本质问题还是Microsoft Graph缺少了访问控制。
fastjson反序列化漏洞_漏洞预警Fastjson再爆反序列化代码执行漏洞;星巴克被发现存在信息泄露风险...相关推荐
- 漏洞预警|Apache Karaf 存在远程代码执行漏洞
棱镜七彩安全预警 近日网上有关于开源项目 Apache Karaf 存在远程代码执行漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应. 项目 ...
- Struts 2再曝远程代码执行漏洞S2-037
导读今年4月份,Apache Stuts 2之上发现的S2-033远程代码执行漏洞,以迅雷不及掩耳之势席卷而来.其利用代码很快就在短时间内迅速传播.而且官方针对这个高危漏洞的修复方案还是无效的. 悲剧 ...
- linux struts2漏洞,重大漏洞预警:Struts 2 远程代码执行漏洞(s2-045\s2-046) (含PoC)
背景介绍 近日,安全研究人员发现著名J2EE框架--Struts2存在远程代码执行的漏洞,Struts2官方已经确认该漏洞(S2-045,S2-046),并定级为高危漏洞. Struts2 的使用范围 ...
- thinkphp日志泄漏漏洞_ThinkPHP框架被爆任意代码执行漏洞
昨日ThinkPHP框架被爆出了一个php代码任意执行漏洞,黑客只需提交一段特殊的URL就可以在网站上执行恶意代码. ThinkPHP作为国内使用比较广泛的老牌PHP MVC框架,有不少创业公司或者项 ...
- js word 预览_微软补丁日:Word/DHCP/LNK远程代码执行漏洞预警
漏洞背景 2019年8月14日微软发布的安全更新中除了RDP漏洞还涵盖了针对多个远程代码执行高危漏洞的修复. Microsoft Word远程代码执行漏洞, 漏洞编号CVE-2019-0585. Wi ...
- python如何执行代码漏洞_命令执行与代码执行漏洞原理
本篇笔记摘自微信"黑白天",如有侵权,联系删除 命令执行定义 当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数.如PHP中的system,exec,sh ...
- 快速修复 Log4j2 远程代码执行漏洞步骤
点击关注公众号,实用技术文章及时了解 来源:blog.csdn.net/weixin_48990070/ article/details/121861553 目录 漏洞说明 修复步骤 下载源码zip包 ...
- DAY23:命令执行代码执行漏洞
DAY23.命令执行&代码执行漏洞 1.命令执行 (RCE) 1.1.漏洞介绍 在Web程序中,Web引用有时需要调用一些执行系统命令的函数,如PHP中的 system.exec.shel ...
- cve-2019-1821 思科 Cisco Prime 企业局域网管理器 远程代码执行 漏洞分析
前言 不是所有目录遍历漏洞危害都相同,取决于遍历的用法以及用户交互程度.正如你将看到,本文的这个漏洞类在代码中非常难发现,但可以造成巨大的影响. 这个漏洞存在于思科Prime Infrastructu ...
最新文章
- 直流UPS与传统UPS系统节能分析
- 七.Hystrix Timeout机制
- 05 Python - Python运行
- 基于命令行设置lazy-queue
- python txt转dataframe_Python格式化解析不规则txt文本并转为dataframe
- java oo原则_javaOO11-12:面向对象的设计原则、线程
- p1292监狱(动态规划)
- 利用python中的csv库读写csv文件
- 漫谈 Clustering (追忆篇): Regularized GMM
- html5旋转木马效果,js实现旋转木马效果
- 查看程序用运时占用的内存
- 机器人走正方形c语言代码,张西臣---机器人走正方形
- tomcat编码设置
- 软件测试用例.范文,软件测试用例模板范文.doc
- uooc c语言作业测验答案,UOOC优课在线组织行为学测验作业答案
- 激光雷达+imu_激光雷达——定位
- 前端获取本地ip和外网ip
- pvs linux_Linux下用于C ++开发的PVS-Studio静态分析器入门
- java开学考试感想及代码
- 基于OpenCASCADE自制三维建模软件(三)搭建开发环境