反序列化漏洞与防护

描述：
反序列化漏洞出现在应用程序将序列化数据（如JSON、XML或二进制格式）还原为对象时，未对数据来源进行充分验证。攻击者可构造恶意序列化数据，在反序列化过程中触发任意代码执行、权限提升或数据篡改。常见于使用序列化功能的语言（如Java、Python、PHP）。

知识背景：

• 序列化：将对象转换为可存储或传输的数据格式（如字节流、JSON字符串）。
• 反序列化：将序列化数据还原为对象实例。
• 漏洞根源：反序列化过程可能自动执行对象的特殊方法（如Java的readObject、Python的__reduce__），若这些方法被恶意利用，会导致危险操作。

攻击原理：

1. 恶意载荷构造：攻击者篡改序列化数据，插入恶意代码或指定执行危险方法的对象。
2. 触发点：反序列化时，应用程序自动调用对象的方法（如初始化、析构、自定义逻辑）。
3. 利用场景：
   • Java中利用Apache Commons Collections等库的链式调用（Gadget Chains）执行命令。
   • PHP中通过__destruct或__wakeup方法包含恶意文件。
   • Python中利用__reduce__方法执行系统命令。

示例（Java）：
假设应用接收序列化对象并直接反序列化：

// 漏洞代码示例
ObjectInputStream ois = new ObjectInputStream(inputStream);
Object obj = ois.readObject(); // 危险：未验证输入

攻击者可能提交恶意序列化数据，其中包含链式调用的对象，最终执行Runtime.exec("恶意命令")。

防护措施：

1. 避免反序列化不可信数据：优先使用JSON等纯数据格式替代对象序列化。
2. 白名单验证：反序列化时限制可解析的类（如Java的ObjectInputFilter）。
3. 日志监控：记录反序列化异常，检测攻击尝试。
4. 代码安全：避免在序列化对象的特殊方法中编写危险逻辑。
5. 库更新：及时修复已知漏洞的序列化库（如Apache Commons Collections）。

总结：
反序列化漏洞的本质是信任边界失控。防护核心在于严格校验输入数据、限制反序列化行为，并通过最小权限原则降低风险。