0

0

深入理解Java中的序列化过滤机制_防止反序列化漏洞的安全实践

P粉602998670

P粉602998670

发布时间:2026-02-21 14:59:12

|

648人浏览过

|

来源于php中文网

原创

java反序列化会直接执行代码,因为objectinputstream读取字节流时动态加载类并调用readobject(),而某些类(如annotationinvocationhandler)的该方法内置反射或命令执行逻辑,导致恶意载荷在反序列化瞬间触发rce。

深入理解java中的序列化过滤机制_防止反序列化漏洞的安全实践

Java反序列化为什么会直接执行代码

因为 ObjectInputStream 在读取字节流时,会根据类名动态加载类、调用 readObject() 方法,而很多类(比如 AnnotationInvocationHandlerBadAttributeValueExpException)的 readObject() 内部会触发反射、方法调用或表达式解析——攻击者只要构造好恶意字节流,就能在反序列化瞬间执行任意命令。

这不是 Java 的 bug,而是设计使然:序列化本就要求还原对象状态,包括行为逻辑。所以“反序列化即执行”是默认行为,不是异常现象。

  • 常见错误现象:java.lang.ClassNotFoundException 看似安全,实则只是攻击载荷没命中目标类;真正危险的是没报错却悄悄拉了外连、删了文件、启了进程
  • 所有通过 ObjectInputStream 读取不可信输入的地方都高危,比如 RMI、JMX、HTTP POST body、Redis 缓存值、消息队列 payload
  • JDK 9+ 默认启用 jdk.serialFilter 全局过滤器,但老项目往往还在用 JDK 8,且该配置极易被绕过(如用 sun.misc.Unsafe 替代标准反序列化路径)

如何用 jdk.serialFilter 配置基础白名单

这是最轻量、兼容性最好的防御手段,适用于无法立刻重构反序列化逻辑的存量系统。

它通过 JVM 启动参数或 System.setProperty() 控制哪些类允许被反序列化,底层由 ObjectInputStream.filterCheck() 触发校验。

立即学习Java免费学习笔记(深入)”;

Dang.ai
Dang.ai

Dang.ai是一个AI工具目录集,已收集超过5000+ AI工具

下载
  • 推荐写法:-Djdk.serialFilter=java.base/*;java.desktop/*;my.app.model.**;!* —— 显式放行基础包和你自己的模型类,最后用 !* 拦住一切未声明的类
  • 注意通配符规则:** 匹配子包,* 只匹配当前包下类(不含子包),!xxx 表示排除,顺序重要,靠前的规则先匹配
  • 别写 my.app.**;!* 这种看似宽松的配置:一旦引入新依赖(比如 com.fasterxml.jackson.databind. 相关类),它们也会被放行,而这些类常含 gadget 链
  • 该配置对 ObjectInputStream.resolveClass() 重写无效——如果代码里手动绕过 filter 调用该方法,过滤就失效了

为什么自定义 ObjectInputStream.checkResolveClass 不够用

有人会在子类里重写 checkResolveClass() 做白名单判断,但这个方法只在类加载阶段调用,不覆盖整个反序列化过程中的其他危险点。

比如:某些 gadget 利用 readObject() 中的 Runtime.getRuntime().exec(),或通过 Transformer 链触发 InvokerTransformer,这些都在对象字段反序列化完成后才执行——此时 checkResolveClass() 早已返回。

  • 典型误判场景:白名单允许 java.util.HashSet,但它在反序列化时会调用内部元素的 readObject(),若元素是恶意构造的 AnnotationInvocationHandler,照样触发链式调用
  • 性能影响小,但防护面窄——它只管“加载哪个类”,不管“这个类会不会干坏事”
  • 如果你真要重写,必须配合 enableResolveObject(false) 关闭对象替换机制,并确保所有字段类型都在白名单内,否则容易漏判

替代方案:用 Jackson 或 Gson 替换原生序列化

最彻底的办法是根本不用 ObjectInputStream。JSON 类库默认不执行代码,只要禁用 DefaultTyping(Jackson)或 setLenient(true)(Gson),就能规避绝大多数反序列化漏洞。

  • Jackson 推荐配置:new ObjectMapper().disable(DefaultTyping.NATURAL) —— 关键是禁掉自动类型识别,否则 @class 字段仍可指定任意类
  • Gson 安全用法:不要用 GsonBuilder.registerTypeAdapter() 绑定带逻辑的反序列化器;避免 TypeToken.getParameterized(List.class, YourClass.class) 中传入不可信类型
  • 兼容性代价:需统一前后端序列化协议;已有二进制缓存(如 Redis 中的 byte[])不能直接读,得迁移或双写
  • 注意边界:即使换 JSON,若业务代码把反序列化结果再喂给 ScriptEngine.eval()SpEL,依然可能 RCE

真正麻烦的从来不是加一行 jdk.serialFilter,而是确认所有反序列化入口——包括那些藏在第三方 SDK 里的、没文档说明的、测试时从不走的冷路径。一个被遗忘的 ObjectInputStream 实例,就足以让整套过滤形同虚设。

热门AI工具

更多
DeepSeek
DeepSeek

幻方量化公司旗下的开源大模型平台

豆包大模型
豆包大模型

字节跳动自主研发的一系列大型语言模型

通义千问
通义千问

阿里巴巴推出的全能AI助手

腾讯元宝
腾讯元宝

腾讯混元平台推出的AI助手

文心一言
文心一言

文心一言是百度开发的AI聊天机器人,通过对话可以生成各种形式的内容。

讯飞写作
讯飞写作

基于讯飞星火大模型的AI写作工具,可以快速生成新闻稿件、品宣文案、工作总结、心得体会等各种文文稿

即梦AI
即梦AI

一站式AI创作平台,免费AI图片和视频生成。

ChatGPT
ChatGPT

最最强大的AI聊天机器人程序,ChatGPT不单是聊天机器人,还能进行撰写邮件、视频脚本、文案、翻译、代码等任务。

相关专题

更多
json数据格式
json数据格式

JSON是一种轻量级的数据交换格式。本专题为大家带来json数据格式相关文章,帮助大家解决问题。

443

2023.08.07

json是什么
json是什么

JSON是一种轻量级的数据交换格式,具有简洁、易读、跨平台和语言的特点,JSON数据是通过键值对的方式进行组织,其中键是字符串,值可以是字符串、数值、布尔值、数组、对象或者null,在Web开发、数据交换和配置文件等方面得到广泛应用。本专题为大家提供json相关的文章、下载、课程内容,供大家免费下载体验。

544

2023.08.23

jquery怎么操作json
jquery怎么操作json

操作的方法有:1、“$.parseJSON(jsonString)”2、“$.getJSON(url, data, success)”;3、“$.each(obj, callback)”;4、“$.ajax()”。更多jquery怎么操作json的详细内容,可以访问本专题下面的文章。

322

2023.10.13

go语言处理json数据方法
go语言处理json数据方法

本专题整合了go语言中处理json数据方法,阅读专题下面的文章了解更多详细内容。

81

2025.09.10

class在c语言中的意思
class在c语言中的意思

在C语言中,"class" 是一个关键字,用于定义一个类。想了解更多class的相关内容,可以阅读本专题下面的文章。

686

2024.01.03

python中class的含义
python中class的含义

本专题整合了python中class的相关内容,阅读专题下面的文章了解更多详细内容。

22

2025.12.06

常用的数据库软件
常用的数据库软件

常用的数据库软件有MySQL、Oracle、SQL Server、PostgreSQL、MongoDB、Redis、Cassandra、Hadoop、Spark和Amazon DynamoDB。更多关于数据库软件的内容详情请看本专题下面的文章。php中文网欢迎大家前来学习。

998

2023.11.02

内存数据库有哪些
内存数据库有哪些

内存数据库有Redis、Memcached、Apache Ignite、VoltDB、TimesTen、H2 Database、Aerospike、Oracle TimesTen In-Memory Database、SAP HANA和ache Cassandra。更多关于内存数据库相关问题,详情请看本专题下面的文章。php中文网欢迎大家前来学习。

662

2023.11.14

pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法
pixiv网页版官网登录与阅读指南_pixiv官网直达入口与在线访问方法

本专题系统整理pixiv网页版官网入口及登录访问方式,涵盖官网登录页面直达路径、在线阅读入口及快速进入方法说明,帮助用户高效找到pixiv官方网站,实现便捷、安全的网页端浏览与账号登录体验。

796

2026.02.13

热门下载

更多
网站特效
/
网站源码
/
网站素材
/
前端模板

精品课程

更多
相关推荐
/
热门推荐
/
最新课程
Kotlin 教程
Kotlin 教程

共23课时 | 3.8万人学习

C# 教程
C# 教程

共94课时 | 9.9万人学习

Java 教程
Java 教程

共578课时 | 69.7万人学习

关于我们 免责申明 举报中心 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送

Copyright 2014-2026 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号