微信号:ikanxue

介绍:致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号.

峰会预告 | Java Json 反序列化之殇

2017-10-13 18:00 看雪学院

 

信息泄露?

服务器崩溃?

远程代码执行?


随着REST API的流行,Json的使用也越来越多,但是其中存在的安全问题却不容忽视,特别是由于反序列化导致的远程代码执行更是威力十足。


在此次看雪峰会演讲中,廖新喜将为大家阐述由Java Json库的反序列化特性导致的RCE。另外,还将以Fastjson举例说明,公布部分未公开的反序列化的payload、0day,并会对这些payload分类解读。


议题将涉及Gson,Jackson和Fastjson这三个最常用的JSON序列化库的序列化和反序列的操作,并分析其安全机制,从安全机制上发现其潜在的安全漏洞。


反序列化漏洞出来已有一段时间,前期的一些防御方案随着时间的推移不再有效,但是却广泛传播,本议题将从开发、运维的角度来,给出全面的建议,指出哪些防范方案不再有效,为什么是无效的,并进一步提出正确、可靠的防御方案,以防御此类安全问题。让更多的开发者对Java反序列化漏洞有更加透彻的理解,做好安全编码,做好安全防护,减少被黑客骚扰的机会。


那么该如何避免这些问题呢?


答案就在本次峰会揭晓!



廖新喜

廖新喜(xxlegend),绿盟科技网络安全攻防实验室安全研究员,擅长代码审计,Web漏洞挖掘,拥有丰富的代码审计经验,曾在Pycon 2015 China大会上分享Python安全编码。安全行业从业六年,做过三年开发,先后担任绿盟科技极光扫描器的开发和开发代表。目前专注于Web漏洞挖掘、Java反序列化漏洞挖掘。曾向RedHat、Apache、Amazon和Oracle提交多份漏洞报告。2016年网络安全周接受央视专访。《谁动了我的VIP账号?》


更多详细议程,戳“阅读原文”查看!


以开发会安全,以安全辅未来!


门票火热抢购中

长 | 按 | 二 | 维 | 码 | 购 | 票





戳左下角“阅读原文”,优惠买票

 
看雪学院 更多文章 剖析Facebook恶意软件通过Chrome拓展传播的流程 Authenticode签名对未签名代码的应用 Hover获取Android用户输入的机密信息(二) Hover获取Android用户输入的机密信息(一) 利用 HookZz 实现反调试与绕过的奇淫技巧
猜您喜欢 Android 实现类似IOS App唤醒的代理方法 Facebook App对TLS的魔改造:实现0-RTT 今日风向标:三星研究IoT.js项目、Sixpack A/B测试框架新增客户端、Android开源项目Carpaccio 从数据算法到人工智能,带你穿越重重迷雾 | AI科技评论周刊 嘿,凌晨了,你睡了吗?还在为未来奋斗着吗?停下来休息一会吧