Java反序列化終極測試工具 最新更新|軟件分類|軟件專題|手機版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置:首頁編程開發(fā)編譯工具 → java反序列化漏洞工具 綠色免費版

java反序列化漏洞工具

綠色免費版

java反序列化漏洞工具
  • 軟件大小:40M
  • 軟件語言:中文
  • 軟件類型:國產(chǎn)軟件 / 編譯工具
  • 軟件授權(quán):免費軟件
  • 更新時間:2017-03-27 11:48
  • 軟件等級:4星
  • 應(yīng)用平臺:WinAll, WinXP
  • 軟件官網(wǎng):

ITMOP本地下載文件大。40M

點贊好評0%(0) 差評差評0%(0)

軟件介紹人氣軟件精品推薦相關(guān)文章網(wǎng)友評論下載地址

小編為您推薦:Java反序列化測試工具java

java反序列化終極測試工具是一款測試可以檢測java反序列化漏洞的檢測軟件,用戶通過軟件可以很輕松的將java反序列化漏洞給找出來,其操作性也非常的簡單,感興趣的朋友快來IT貓撲下載吧!

Java反序列化漏洞產(chǎn)生的原因

在java編寫的web應(yīng)用與web服務(wù)器間java通常會發(fā)送大量的序列化對象例如以下場景:

HTTP請求中的參數(shù),cookies以及Parameters。

RMI協(xié)議,被廣泛使用的RMI協(xié)議完全基于序列化

JMX 同樣用于處理序列化對象

自定義協(xié)議 用來接收與發(fā)送原始的java對象

在序列化過程中會使用ObjectOutputStream類的writeObject()方法,在接收數(shù)據(jù)后一般又會采用ObjectInputStream類的readObject()方法進行反序列化讀取數(shù)據(jù)。其代碼示例如下:

java反序列化漏洞利用工具

jave反序列檢測

結(jié)果如圖:

jave反序列檢測

上述代碼中的java類ObjectInputStream在執(zhí)行反序列化時并不會對自身的輸入進行檢查,意味著一種可能性,即惡意攻擊者構(gòu)建特定的輸入,在ObjectInputStream類反序列化之后會產(chǎn)生非正常結(jié)果。而根據(jù)最新的研究,利用這一方法可以實現(xiàn)遠程執(zhí)行任意代碼。

為了進一步說明,可以針對對上述代碼進行了一點修改

jave反序列檢測

結(jié)果:

jave反序列檢測

主要修改為自定義了一個被序列化的對象myobject,通過定義myobject實現(xiàn)了java序列化的接口并且定義了一種名為“readObject”的方法。通過對比上面例子的輸出,可以發(fā)現(xiàn)反序列化的相關(guān)數(shù)值被修改了,即執(zhí)行的用戶自身的代碼。造成結(jié)果不同的關(guān)鍵在于readObject方法,java在讀取序列化對象的時候會先查找用戶自定義的readObject是否存在,如果存在則執(zhí)行用戶自定義的方法

Java反序列化終極測試工具功能介紹

1、本地命令執(zhí)行并回顯,無須加載外部jar包,支持純內(nèi)網(wǎng)環(huán)境檢測。

2、支持JBoss、WebSphere和Weblogic的反序列化漏洞檢測。

3、支持https數(shù)據(jù)傳輸。

4、支持文件目錄列表。

解壓密碼:ygkjgt7.cn

更多>>軟件截圖

推薦軟件

其他版本下載

    精品推薦漏洞掃描工具

    漏洞掃描工具
    更多 (32個) >>漏洞掃描工具漏洞掃描工具是與網(wǎng)絡(luò)信息安全工作息息相關(guān)相關(guān)的重要防護軟件,一般分為web漏洞掃描器、java漏洞掃描工具、網(wǎng)站漏洞掃描工具、漏洞掃描系統(tǒng)、asp漏洞掃描軟件等幾個大類,無論是對于網(wǎng)絡(luò)相關(guān)從業(yè)者還是日常網(wǎng)絡(luò)使用

    相關(guān)文章

    下載地址

    • java反序列化漏洞工具 綠色免費版

    查看所有評論>>網(wǎng)友評論

    發(fā)表評論

    (您的評論需要經(jīng)過審核才能顯示) 網(wǎng)友粉絲QQ群號:203046401

    查看所有0條評論>>

    更多>>猜你喜歡