峰会预告 | Java Json 反序列化之殇

Posted 2021-04-30 看雪学院

 

信息泄露？

服务器崩溃？

远程代码执行？

随着REST API的流行，Json的使用也越来越多，但是其中存在的安全问题却不容忽视，特别是由于反序列化导致的远程代码执行更是威力十足。

在此次看雪峰会演讲中，廖新喜将为大家阐述由Java Json库的反序列化特性导致的RCE。另外，还将以Fastjson举例说明，公布部分未公开的反序列化的payload、0day，并会对这些payload分类解读。

议题将涉及Gson，Jackson和Fastjson这三个最常用的JSON序列化库的序列化和反序列的操作，并分析其安全机制，从安全机制上发现其潜在的安全漏洞。

反序列化漏洞出来已有一段时间，前期的一些防御方案随着时间的推移不再有效，但是却广泛传播，本议题将从开发、运维的角度来，给出全面的建议，指出哪些防范方案不再有效，为什么是无效的，并进一步提出正确、可靠的防御方案，以防御此类安全问题。让更多的开发者对Java反序列化漏洞有更加透彻的理解，做好安全编码，做好安全防护，减少被黑客骚扰的机会。

那么该如何避免这些问题呢？

答案就在本次峰会揭晓！

廖新喜

廖新喜(xxlegend)，绿盟科技网络安全攻防实验室安全研究员，擅长代码审计，Web漏洞挖掘，拥有丰富的代码审计经验，曾在Pycon 2015 China大会上分享Python安全编码。安全行业从业六年，做过三年开发，先后担任绿盟科技极光扫描器的开发和开发代表。目前专注于Web漏洞挖掘、Java反序列化漏洞挖掘。曾向RedHat、Apache、Amazon和Oracle提交多份漏洞报告。2016年网络安全周接受央视专访。《谁动了我的VIP账号？》

更多详细议程，戳“阅读原文”查看！

以开发会安全，以安全辅未来!

门票火热抢购中

长 | 按 | 二 | 维 | 码 | 购 | 票

戳左下角“阅读原文”，优惠买票