面向Java反序列化漏洞调用链搜索方法的研究.pdfVIP

摘要

随着分布式服务的普及，在频繁使用反序列化技术的场景中，应用程序开发

过程的错误和程序各类型方法之间的依赖关系容易导致不可信的数据传入到程序

中被执行造成危害。本文针对Java技术栈中反序列化漏洞分析与调用链搜索存在

的“静态分析不完备，缺失对Java反射与动态代理分析”、“动静态混合分析低效”

等问题，导致调用链搜索结果失准且效率低下，提出一种基于静态污点分析和定

向模糊测试的调用链验证及搜索方法，并实现了自动化搜索Java反序列化漏洞调

用链工具GadgetSearcher。与目前流行的同类工具对比，实验证明GadgetSearcher

能更精确、高效地找出调用链。本文研究工作主要有以下三个部分：

（1）针对“静态分析不完备，缺失对Java反射与动态代理分析”问题，提出

一种改进的基于静态污点分析的调用链搜索方法，增加对Java动态特性的建模分

析，提高了静态分析准确率。

（2）针对“动静态混合分析低效”问题，提出基于定向模糊测试的调用链验

证及搜索方法，提高了动静态混合分析的准确率和效率。在静态分析结果基础上，

以得到的调用图及图中的潜在调用链作为导向，生成结构化测试用例，对潜在调

用链进行验证的同时搜索新调用链。

（3）根据上述提出的方法，实现Java反序列化漏洞调用链挖掘工具Gadget

Searcher。静态分析模块基于Soot框架、Neo4j数据库等实现，参考蚁群算法实现

种子动态能量调控，基于JQF+QuickCheck生成结构化测试用例，利用ASM加

JavaAgent技术实现字节码插桩。

实验数据集来自ysoserial、marshalsec和最近披露的反序列化相关CVE，经

实验分析与验证，静态污点分析搜索结果准确率能达到62.2%，比起工程上使用

广泛的GadgetInspector系列工具，其准确率只有10%到35%，已有大幅提升；加

入模糊测试后，限制运行时间15min时准确率能达到76.5%，结合动态测试后准

确率进一步提高；且在同样运行时间内，GadgetSaearcher比同类动静态混合分析

工具能搜索到更多可利用调用链。综上所述，表明GadgetSearcher的调用链检测

结果准确率与搜索效率均更高。

关键词：Java反序列化漏洞，静态污点分析，定向模糊测试

ABSTRACT

Withthepopularityofdistributedservices,inscenarioswheredeserialization

technologyisfrequentlyused,errorsintheapplicationdevelopmentprocessand

dependenciesbetweenvarioustypesofmethodsintheprogramcaneasilycreateharm.

ThisthesisfocusesontheissuesofIncompletestaticanalysislackofanalysisofJava

reflectionanddynamicproxiesandInefficientmixedstaticanddynamicanalysisin

theanalysisofdeserializationvulnerabilitiesandsearchofgadgetsinJava,whichleadto

lowefficiencyandinaccurateresultsingadgetsearches.Amethodofgadgetverification

andsearchbasedonstatictaintanalysisanddirectedfuzzingisproposed,andan

automatedtool,GadgetSearcher,isimplementedforsearchingJavadeserialization

vulnerabilitycal