【第36课】安全开发-JavaEE应用&第三方组件&Log4j日志&FastJson序列化&JNDI注入

121212

Java知识点：

功能：数据库操作，文件操作，序列化数据，身份验证，框架开发，第三方库使用等.

框架库：MyBatis，SpringMVC，SpringBoot，Shiro，Log4j，FastJson等

技术：Servlet，Listen，Filter，Interceptor，JWT，AOP，反射机制待补充

安全：SQL注入，RCE执行，反序列化，脆弱验证，未授权访问，待补充

安全：原生开发安全，第三方框架安全，第三方库安全等，待补充

Java-项目管理-工具配置

Jar 仓库：

https://mvnrepository.com/

Maven配置：

https://www.jb51.net/article/259780.htm

JNDI：Java Naming and Directory Interface (Java 命名和目录接口 )，JNDI 提供统一的客户端 API，通过不同的服务供应接口(SPI)的实现，由管理者将 JNDI API 映射为特定的命名服务和目录服务，使得 JAVA 应用程可以通过 JNDI 实现和这些命名服务和目录服务之间的交互。

• JNDI是一个接口，在这个接口下会有多种目录系统服务的实现，通过名称等去找到相关的对象，并把它下载到客户端中来。用于在分布式环境中查找和访问命名和目录服务。它允许Java应用程序通过名称引用资源，如数据库连接、远程对象等。
• 反序列化常用的两种利用方式，一种是基于RMI，一种是基于ldap。

RMI（Remote Method Invocation，远程方法调用）是一种用于在分布式系统中实现远程通信和方法调用的Java API。

RMI 允许在不同的 Java 虚拟机（JVM）上的对象之间进行通信和交互。通过 RMI，客户端可以调用远程服务器上的对象的方法，就像调用本地对象的方法一样。

RMI 的工作原理如下：

1. 客户端通过命名服务（如 RMI Registry）查找到要调用的远程对象的引用。
2. 客户端通过远程对象的引用进行远程方法的调用。
3. 远程对象在服务器端接收到方法调用请求后执行相应的方法。
4. 执行完方法后，远程对象将返回相应的结果给客户端。

需要注意的是，RMI 是基于 Java 的，并且只能在 Java 环境下使用。它依赖于 Java 的序列化机制来将对象转换为字节序列进行传输。

LDAP（Lightweight Directory Access Protocol，轻量级目录访问协议）是一种用于访问和操作分布式目录服务的协议。

LDAP 最初设计用于访问 X.500 目录服务，但随着时间的推移，它也被广泛应用于其他目录服务，如Microsoft Active Directory和OpenLDAP等。

目录服务是一种用于存储和组织大量结构化数据的数据库系统，通常用于存储用户、组织、网络资源等的信息。LDAP 提供了一种标准化的方式来查询、添加、修改和删除目录中的数据。

LDAP 的工作原理如下：

1. 客户端通过 LDAP 协议与目录服务器建立连接。
2. 客户端发送查询请求（如搜索、添加、修改等）到目录服务器。
3. 目录服务器根据请求进行相应的操作，并将结果返回给客户端。
4. 客户端接收并处理服务器返回的结果。

LDAP 使用基于文本的协议进行通信，通常在 TCP/IP 上运行，默认端口号为389。它采用层次化的数据结构（树状结构）来组织数据，每个节点都有一个唯一的标识符（DN，Distinguished Name）。

LDAP 提供了一些常用的操作，包括：

1. 搜索（Search）：根据特定的条件在目录中搜索数据。
2. 添加（Add）：向目录中添加新的数据项。
3. 修改（Modify）：修改目录中的数据项。
4. 删除（Delete）：从目录中删除数据项。

LDAP 还具有灵活的权限控制和身份认证机制，可以确保只有经过授权的用户能够访问和修改目录中的数据。

经典的JNDI注入漏洞：

Log4j 2.x 中的 JNDI 注入漏洞LDAP，允许攻击者通过特制的日志消息进行远程代码执行。在这种情况下，攻击者可以利用恶意构造的 JNDI上下文注入，执行恶意的Java代码。

<