从ysoserial中取出反复试验
福克斯主教研究人员开发的一种新工具旨在减少利用的挫败感爪哇避免虫子 - 危险且经常被低估的类安全漏洞在Java Web应用程序中beplay体育能用吗找到。
命名GadgetProbe,该工具可以通过自动化远程应用程序中使用的潜在脆弱的Java库所需的试用和错误工作来更容易利用避难所错误。
什么是序列化和挑选化?
“序列化”(也称为“编组”)是许多编程语言中发现的功能,其中内存对象被转换为用于存储磁盘或传输到远程应用程序的字节流。
相反的操作“避免”是指从该字节流中提取数据结构。
避难所广泛用于许多Web应用程序和服务。beplay体育能用吗用例包括数据的传输和存储,对象的分布或执行远程过程调用。
为什么挑剔会很危险
不幸的是,并非所有形式的次要化都是安全的,这取决于应用程序的程序员来实施防止滥用的保障措施。
黑客可以将恶意有效载荷插入序列化对象中,以利用避难所实现的漏洞。
未经处理的避难所可能会导致远程代码执行- 最危险的网络攻击类型之一。
安全研究人员克里斯·弗洛夫(Chris Frohoff)和加布里埃尔·劳伦斯(Gabriel Lawrence)在APPSEC California 2015中首先引起了人们对挑战的脆弱性的关注。编组咸菜’。
两人展示了用于利用Java对象的概念验证代码。
从那时起,安全研究人员在重要的Java库中发现了许多关键的避免错误。示例包括Apache Struts 2服务器和Oracle的Webeplay体育能用吗blogic应用程序服务器。
gadgetprobe:避难所变得容易
弗洛霍夫(Frohoff)和劳伦斯(Lawrence)在AppSec加利福尼亚州的演讲中发布了“ Ysoserial”,这是一系列公用事业,在正确的条件下可以利用执行不安全Java挑战的应用程序。
自推出以来,Ysoserial已成为利用避难所漏洞的主要工具,提供了流行的Java库中存在的已知高影响力小工具链的集合。
但是,如果不了解远程软件使用的库和版本,安全研究人员将猜测和执行大量的手动反复试验。
GadgetProbe可以确定远程软件中是否存在指定库,并检测库的版本。它使用特殊精心设计的对象,可以通过发出信号来回答真或错误问题DNS。
该工具使用java库类名称的单词列表来对远程类路径中可用的Brute-Force库和版本。GadgetProbe被设计为Java库,也是Burp Suite的扩展。
“我最近在专有的二进制协议中发现了不安全的挑战,我很容易地使用GadgetProbe库通过该协议来蛮力Java类,” Bishop Fox的安全助理兼GadgetProbe的首席研究员Jake Miller告诉GadgetProbe,他告诉GadgetProbe的首席研究员每日swbeplay2018官网ig。
GadgetProbe已被设计为Java库和Burp Suite扩展
GadgetProbe与其他避难所脆弱性发现工具联系在一起,例如小工具检查员。
米勒说:“鉴于图书馆列表,Gadgetinspector将自动发现新的小工具链。”
“通过将GadgetProbe的信息馈送到GadgetInspector中,您将能够开发自定义的小工具链,是您正在测试的应用程序中存在的特定库中独有的一组。”
他补充说:“您不会被已知的漏洞工作 - 使用这两个工具,您可以为特定的应用程序生成自己的工具。”
自本月推出以来,GadgetProbe收到了安全社区的积极反馈。
“证明漏洞的影响是渗透测试,”米勒说。
“该工具使赏金猎人能够检索更高的赏金,顾问向客户展示更高的影响,并提供更可靠的利用。”
你可能还喜欢金核:机器学习工具简化了笔测试仪的目标发现