Java反序列化漏洞已经成为当下Java应用安全的常见威胁,其中能够找到反序列化利用链是该类型漏洞能否利用的关键.由于Java应用及依赖库的代码空间大和Java本身多态的问题,人工分析Java反序列化利用链,需消耗大量的时间和精力,且高度依赖分析人员的经验知识.因此,研究如何高效且准确地自动化挖掘反序列化利用链至关重要.提出了基于混合分析的Java反序列化利用链挖掘方法.根据变量声明类型构造调用图,通过调用图分析筛选可能到达危险函数的反序列化入口函数.将筛选出的入口函数作为混合信息流分析的入口,开展同时面向指针和污点变量的混合信息流分析,对隐式创建的对象标记污点,在传播指针信息的同时传播污点信息,构建混合信息流图.基于混合信息流图判断外部污点数据传播到危险函数的可达性.根据污点传播路径构造相应的反序列化利用链.混合分析兼顾了调用图分析的速度和混合信息流分析的精度.基于提出的混合分析方法,实现相应的静态分析工具——GadgetSearch.GadgetSearch 在 Ysoserial、Marshalsec、Jackson 历史 CVE、XStream 历史 CVE4个数据集上的误报率和漏报率比现有的工具Gadgetlnspector低,并且发现多条未公开利用链.实验结果证明,所提方法能够在多个实际Java应用中高效且准确地挖掘Java反序列化利用链.

反序列化漏洞;指针分析;污点分析;混合分析

武永兴;陈力波;姜开达

上海交通大学网络空间安全学院,上海200240

网络与信息安全学报

[1]武永兴;陈力波;姜开达-.基于混合分析的Java反序列化利用链挖掘方法)[J].网络与信息安全学报,2022(02):160-174

GadgetSearch,Ysoserial,Marshalsec,XStream,CVE4,Gadgetlnspector,指针分析

Java,挖掘方法,反序列化漏洞,应用安全,代码,工分,经验知识,声明,类型构造,调用,能到,危险函数,化入,混合信息,信息流分析,隐式,播到,可达性,传播路径,混合分析方法,静态分析,Jackson,误报率,漏报率,多条,未公开,污点分析

0.181653