關(guān)鍵要點(diǎn) Java序列化在很多庫中引入了安全漏洞。 對(duì)序列化進(jìn)行模塊化處于開放討論狀態(tài)。 如果序列化能夠成為模塊，開發(fā)人員將能夠?qū)⑵鋸墓舯砻嫔弦瞥? 移除其他模塊可以消除它們所帶來的風(fēng)險(xiǎn)。 插樁提供了一種編織安全控制的方法，提供現(xiàn)代化的防御機(jī)制。

多年來，Java的序列化功能飽受 安全漏洞 和zero-day攻擊，為此贏得了“ 持續(xù)奉獻(xiàn)的禮物 ”和“ 第四個(gè)不可饒恕的詛咒 ”的綽號(hào)。

作為回應(yīng)，OpenJDK貢獻(xiàn)者團(tuán)隊(duì)討論了一些用于限制序列化訪問的方法，例如將其 提取到可以被移除的jigsaw模塊中 ，讓黑客無法攻擊那些不存在的東西。

一些文章（例如“ 序列化必須死 ”）提出了這樣的建議，將有助于防止 某些流行軟件（如VCenter 6.5）的漏洞被利用 。

什么是序列化？

自從1997年發(fā)布 JDK 1.1 以來，序列化已經(jīng)存在于Java平臺(tái)中。

它用于在套接字之間共享對(duì)象表示，或者將對(duì)象及其狀態(tài)保存起來以供將來使用（反序列化）。

在JDK 10及更低版本中，序列化作為java.base包和java.io.Serializable方法的一部分存在于所有的系統(tǒng)中。

GeeksForGeeks對(duì) 序列化的工作原理 進(jìn)行了詳細(xì)的描述。

有關(guān)更多如何使用序列化的代碼示例，可以參看Baeldung對(duì) Java序列化的介紹 。

序列化的挑戰(zhàn)和局限

序列化的局限主要表現(xiàn)在以下兩個(gè)方面：

出現(xiàn)了新的對(duì)象傳輸策略，例如JSON、XML、Apache Avro、Protocol Buffers等。 1997年的序列化策略無法預(yù)見現(xiàn)代互聯(lián)網(wǎng)服務(wù)的構(gòu)建和攻擊方式。

進(jìn)行序列化漏洞攻擊的基本前提是找到對(duì)反序列化的數(shù)據(jù)執(zhí)行特權(quán)操作的類，然后傳給它們惡意的代碼。為了理解完整的攻擊過程，可以參看Matthias Kaiser在2015年發(fā)表的“ Exploiting Deserialization Vulnerabilities in Java ”一文，其中幻燈片第14頁開始提供了相關(guān)示例。

其他大部分與序列號(hào)有關(guān)的安全研究 都是基于Chris Frohoff、Gabriel Lawrence和Alvaro Munoz的工作成果。

序列化在哪里？如何知道我的應(yīng)用程序是否用到了序列化？

要移除序列化，需要從java.io包開始，這個(gè)包是java.base模塊的一部分。最常見的使用場景是：

實(shí)現(xiàn)Serializable接口和（可選）serialversionuid長整型字段。 使用ObjectInputStream或ObjectOutputStream。 使用 嚴(yán)重依賴序列化 的庫，例如：Xstream、Kryo、BlazeDS和 大多數(shù)應(yīng)用程序服務(wù)器 。

使用這些方法的開發(fā)人員應(yīng)考慮使用其他存儲(chǔ)和讀回?cái)?shù)據(jù)的替代方法。Eishay Smith發(fā)布了 幾個(gè)不同序列化庫的性能指標(biāo) 。在評(píng)估性能時(shí)，需要在基準(zhǔn)度量指標(biāo)中包含安全方面的考慮。默認(rèn)的Java序列化“更快”一些，但漏洞也會(huì)以同樣的速度找上門來。

我們?cè)撊绾谓档托蛄谢毕莸挠绊懀?

項(xiàng)目Amber 包含了一個(gè)關(guān)于將序列化API隔離出來的討論。我們的想法是將序列化從java.base移動(dòng)到單獨(dú)的模塊，這樣應(yīng)用程序就可以完全移除它。在確定 JDK 11功能集 時(shí)并沒有針對(duì)該提議得出任何結(jié)果，但可能會(huì)在未來的Java版本中繼續(xù)進(jìn)行討論。

通過運(yùn)行時(shí)保護(hù)來減少序列化暴露

一個(gè)可以監(jiān)控風(fēng)險(xiǎn)并自動(dòng)化可重復(fù)安全專業(yè)知識(shí)的系統(tǒng)對(duì)于很多企業(yè)來說都是很有用的。Java應(yīng)用程序可以將JVMTI工具嵌入到安全監(jiān)控系統(tǒng)中，通過插樁的方式將傳感器植入到應(yīng)用程序中。Contrast Security是這個(gè)領(lǐng)域的一個(gè)免費(fèi)產(chǎn)品，它是JavaOne大會(huì)的 Duke’s Choice大獎(jiǎng)得主 。與其他軟件項(xiàng)目（如MySQL或GraalVM）類似， Contrast Security的社區(qū)版 對(duì)開發(fā)人員是免費(fèi)的。

將運(yùn)行時(shí)插樁應(yīng)用在Java安全性上的好處是它不需要修改代碼，并且可以直接集成到JRE中。

它有點(diǎn)類似于面向切面編程，將非侵入式字節(jié)碼嵌入到源端（遠(yuǎn)程數(shù)據(jù)進(jìn)入應(yīng)用程序的入口）、接收端（以不安全的方式使用數(shù)據(jù)）和轉(zhuǎn)移（安全跟蹤需要從一個(gè)對(duì)象移動(dòng)到另一個(gè)對(duì)象）。

通過集成每個(gè)“接收端”（如ObjectInputStream），運(yùn)行時(shí)保護(hù)機(jī)制可以添加額外的功能。在從JDK 9移植反序列化過濾器之前，這個(gè)功能對(duì)序列化和其他攻擊的類型（如SQL注入）來說至關(guān)重要。

集成這個(gè)運(yùn)行時(shí)保護(hù)機(jī)制只需要修改啟動(dòng)標(biāo)志，將javaagent添加到啟動(dòng)選項(xiàng)中。例如，在Tomcat中，可以在bin/setenv.sh中添加這個(gè)標(biāo)志：

CATALINA_OPTS=-javaagent:/Users/ecostlow/Downloads/Contrast/contrast.jar

啟動(dòng)后，Tomcat將會(huì)初始化運(yùn)行時(shí)保護(hù)機(jī)制，并將其注入到應(yīng)用程序中。關(guān)注點(diǎn)的分離讓應(yīng)用程序可以專注在業(yè)務(wù)邏輯上，而安全分析器可以在正確的位置處理安全性。

其他有用的安全技術(shù)

在進(jìn)行維護(hù)時(shí)，可以不需要手動(dòng)列出一長串東西，而是使用像 OWASP Dependency-Check 這樣的系統(tǒng)，它可以識(shí)別出已知安全漏洞的依賴關(guān)系，并提示進(jìn)行升級(jí)。也可以考慮通過像 DependABot 這樣的系統(tǒng)進(jìn)行庫的自動(dòng)更新。

雖然用意很好，但默認(rèn)的 Oracle序列化過濾器 存在與SecurityManager和相關(guān)沙箱漏洞相同的設(shè)計(jì)缺陷。因?yàn)樾枰煜巧珯?quán)限并要求提前了解不可知的事物，限制了這個(gè)功能的大規(guī)模采用：系統(tǒng)管理員不知道代碼的內(nèi)容，所以無法列出類文件，而開發(fā)人員不了解環(huán)境，甚至DevOps團(tuán)隊(duì)通常也不知道系統(tǒng)其他部分（如應(yīng)用程序服務(wù)器）的需求。

移除未使用模塊的安全隱患

Java 9的模塊化JDK能夠 創(chuàng)建自定義運(yùn)行時(shí)鏡像 ，移除不必要的模塊，可以使用名為jlink的工具將其移除。這種方法的好處是黑客無法攻擊那些不存在的東西。

從提出模塊化序列化到應(yīng)用程序能夠?qū)嶋H使用以及使用其他序列化的新功能需要一段時(shí)間，但正如一句諺語所說：“種樹的最佳時(shí)間是二十年前，其次是現(xiàn)在”。

剝離Java的原生序列化功能還應(yīng)該為大多數(shù)應(yīng)用程序和微服務(wù)提供更好的互操作性。通過使用標(biāo)準(zhǔn)格式（如JSON或XML），開發(fā)人員可以更輕松地在使用不同語言開發(fā)的服務(wù)之間進(jìn)行通信——與Java 7的二進(jìn)制blob相比，python微服務(wù)通常具有更好的讀取JSON文檔的集成能力。不過，雖然JSON格式簡化了對(duì)象共享，針對(duì)Java和.NET解析器的“ Friday the 13th JSON attacks ”證明了銀彈是不存在的（ 白皮書 ）。

在進(jìn)行剝離之前，序列化讓然保留在java.base中。這些技術(shù)可以降低與其他模塊相關(guān)的風(fēng)險(xiǎn)，在序列化被模塊化之后，仍然可以使用這些技術(shù)。

為Apache Tomcat 8.5.31模塊化JDK 10的示例

在這個(gè)示例中，我們將使用模塊化的JRE來運(yùn)行Apache Tomcat，并移除任何不需要的JDK模塊。我們將得到一個(gè)自定義的JRE，它具有更小的攻擊表面，仍然能夠用于運(yùn)行應(yīng)用程序。

確定需要用到哪些模塊

第一步是檢查應(yīng)用程序?qū)嶋H使用的模塊。OpenJDK工具jdeps可以對(duì)JAR文件的字節(jié)碼執(zhí)行掃描，并列出這些模塊。像大多數(shù)用戶一樣，對(duì)于那些不是自己編寫的代碼，我們根本就不知道它們需要哪些依賴項(xiàng)或模塊。因此，我使用掃描器來檢測并生成報(bào)告。

列出單個(gè)JAR文件所需模塊的命令是：

jdeps -s JarFile.jar

它將列出模塊信息：

tomcat-coyote.jar -> java.basetomcat-coyote.jar -> java.managementtomcat-coyote.jar -> not found

最后，每個(gè)模塊（右邊的部分）都應(yīng)該被加入到一個(gè)模塊文件中，成為應(yīng)用程序的基本模塊。這個(gè)文件叫作module-info.java，文件名帶有連字符，表示不遵循標(biāo)準(zhǔn)的Java約定，需要進(jìn)行特殊處理。

下面的命令組合將所有模塊列在一個(gè)可用的文件中，在Tomcat根目錄運(yùn)行這組命令：

find . -name *.jar ! -path './webapps/*' ! -path './temp/*' -exec jdeps -s {} ; | sed -En 's/.* -> (.*)/ requires 1;/p' | sort | uniq | grep -v 'not found' | xargs -0 printf 'module com.infoq.jdk.TomcatModuleExample{n%s}n'

這組命令的輸出將被寫入lib/module-info.java文件，如下所示：

module com.infoq.jdk.TomcatModuleExample{ requires java.base; requires java.compiler; requires java.desktop; requires java.instrument; requires java.logging; requires java.management; requires java.naming; requires java.security.jgss; requires java.sql; requires java.xml.ws.annotation; requires java.xml.ws; requires java.xml;}

這個(gè)列表比整個(gè)Java模塊列表要短得多。

下一步是將這個(gè)文件放入JAR中：

javac lib/module-info.javajar -cf lib/Tomcat.jar lib/module-info.class

最后，為應(yīng)用程序創(chuàng)建一個(gè)JRE：

jlink --module-path lib:$JAVA_HOME/jmods --add-modules ThanksInfoQ_Costlow --output dist

這個(gè)命令的輸出是一個(gè)運(yùn)行時(shí)，包含了運(yùn)行應(yīng)用程序所需的恰到好處的模塊，沒有任何性能開銷，也沒有了未使用模塊中可能存在的安全風(fēng)險(xiǎn)。

與基礎(chǔ)JDK 10相比，只用了98個(gè)核心模塊中的19個(gè)。

java --list-modulescom.infoq.jdk.TomcatModuleExamplejava.activation@10.0.1java.base@10.0.1java.compiler@10.0.1java.datatransfer@10.0.1java.desktop@10.0.1java.instrument@10.0.1java.logging@10.0.1java.management@10.0.1java.naming@10.0.1java.prefs@10.0.1java.security.jgss@10.0.1java.security.sasl@10.0.1java.sql@10.0.1java.xml@10.0.1java.xml.bind@10.0.1java.xml.ws@10.0.1java.xml.ws.annotation@10.0.1jdk.httpserver@10.0.1jdk.unsupported@10.0.1

運(yùn)行這個(gè)命令后，就可以使用dist文件夾中的運(yùn)行時(shí)來運(yùn)行應(yīng)用程序。

看看這個(gè)列表：部署插件（applet）消失了，JDBC（SQL）消失了，JavaFX也不見了，很多其他模塊也消失了。從性能角度來看，這些模塊不再產(chǎn)生任何影響。從安全角度來看，黑客無法攻擊那些不存在的東西。保留應(yīng)用程序所需的模塊非常重要，因?yàn)槿绻鄙龠@些模塊，應(yīng)用程序也無法正常運(yùn)行。

關(guān)于作者

Erik Costlow 是甲骨文的Java 8和9產(chǎn)品經(jīng)理，專注于安全性和性能。他的安全專業(yè)知識(shí)涉及威脅建模、代碼分析和安全傳感器增強(qiáng)。在進(jìn)入技術(shù)領(lǐng)域之前，Erik是一位馬戲團(tuán)演員，可以在三輪垂直獨(dú)輪車上玩火。

查看英文原文： The State of Java Serialization

來自：http://www.infoq.com/cn/articles/java-serialization-aug18