腳本之家服務(wù)器常用軟件

快捷導(dǎo)航

Java反序列化終極測(cè)試工具免費(fèi)版

java反序列化漏洞工具

投訴報(bào)錯(cuò)

軟件大?。?span>38.4MB
軟件語(yǔ)言：簡(jiǎn)體中文
軟件類型：國(guó)產(chǎn)軟件
軟件授權(quán)：免費(fèi)軟件
軟件類別：編程其它
應(yīng)用平臺(tái)：Windows平臺(tái)
更新時(shí)間：2016-01-05
網(wǎng)友評(píng)分：

360通過(guò) 騰訊通過(guò) 金山通過(guò)

38.4MB

詳情介紹

Java反序列化終極測(cè)試工具是一款檢測(cè)java反序列化漏洞工具，直接將Jboss、Websphere和weblogic的反序列化漏洞的利用集成到了一起。java反序列化漏洞已經(jīng)被曝出一段時(shí)間了，其強(qiáng)大的破壞力讓我們防不勝防！有沒(méi)有合理的方法掃描、解決這些漏洞呢？本平臺(tái)就為大家提供Java反序列化終極測(cè)試工具，需要的朋友們可以下載試試。

Java反序列化漏洞產(chǎn)生的原因
在java編寫(xiě)的web應(yīng)用與web服務(wù)器間java通常會(huì)發(fā)送大量的序列化對(duì)象例如以下場(chǎng)景：
HTTP請(qǐng)求中的參數(shù)，cookies以及Parameters。
RMI協(xié)議，被廣泛使用的RMI協(xié)議完全基于序列化
JMX 同樣用于處理序列化對(duì)象
自定義協(xié)議用來(lái)接收與發(fā)送原始的java對(duì)象
在序列化過(guò)程中會(huì)使用ObjectOutputStream類的writeObject()方法，在接收數(shù)據(jù)后一般又會(huì)采用ObjectInputStream類的readObject()方法進(jìn)行反序列化讀取數(shù)據(jù)。

上述代碼中的java類ObjectInputStream在執(zhí)行反序列化時(shí)并不會(huì)對(duì)自身的輸入進(jìn)行檢查，意味著一種可能性，即惡意攻擊者構(gòu)建特定的輸入，在ObjectInputStream類反序列化之后會(huì)產(chǎn)生非正常結(jié)果。而根據(jù)最新的研究，利用這一方法可以實(shí)現(xiàn)遠(yuǎn)程執(zhí)行任意代碼。
為了進(jìn)一步說(shuō)明，可以針對(duì)對(duì)上述代碼進(jìn)行了一點(diǎn)修改：
java反序列化漏洞利用工具

結(jié)果：
java反序列化漏洞利用工具
主要修改為自定義了一個(gè)被序列化的對(duì)象myobject，通過(guò)定義myobject實(shí)現(xiàn)了java序列化的接口并且定義了一種名為“readObject”的方法。通過(guò)對(duì)比上面例子的輸出，可以發(fā)現(xiàn)反序列化的相關(guān)數(shù)值被修改了，即執(zhí)行的用戶自身的代碼。造成結(jié)果不同的關(guān)鍵在于readObject方法，java在讀取序列化對(duì)象的時(shí)候會(huì)先查找用戶自定義的readObject是否存在，如果存在則執(zhí)行用戶自定義的方法。

Java反序列化 Java測(cè)試工具

下載地址

下載錯(cuò)誤？【投訴報(bào)錯(cuò)】