漏洞，远程代码执行，利用代码

Question

我想知道利用以下漏洞的代码。

• https://issues.apache.org/jira/browse/FILEUPLOAD-279

该漏洞似乎是由反序列化漏洞引起的。

• https://www.tenable.com/security/research/tra-2016-12

我感兴趣的是这个漏洞是否仅仅是对象反序列化。

根据与红宝石的结合的说法，似乎可以通过上传序列化对象有效负载的文件进行攻击。

这是uploading file普通文件上传吗？

例如，下面的代码。

    // Upload file of serialized object payload in Web Browser by `input type="file"`

    // Server Code
    DiskFileItemFactory factory = new DiskFileItemFactory();
    factory.setSizeThreshold(0);
    ServletFileUpload upload = new ServletFileUpload(factory);
    List items = upload.parseRequest(request); // **Here executing attack code??
    ...

或者这个uploading file是否像Java一样接收序列化的对象有效负载(和去定向)？

我认为只有当接收到序列化的对象有效负载时。

Answer 1

这种情况下的漏洞似乎是应用程序在可信访问控制上下文(acc)内反序列化不受信任的数据。请参阅Oracle用于Java 准则8-5 /串行-5:理解序列化和反序列化的安全权限的安全编码准则。

快速查看电流源似乎表明Serializable已从该库中删除，而且它似乎从未进行过任何反序列化本身(我可能错了)。