XStream安全反序列化：限制类型以应对不受信任数据警告-java教程-PHP中文网

XStream安全反序列化：限制类型以应对不受信任数据警告

DDD

发布： 2025-12-02 15:02:42

原创

722人浏览过

XStream安全反序列化：限制类型以应对不受信任数据警告

本文旨在解决checkmarx扫描中常见的xstream反序列化不受信任数据漏洞。该漏洞源于xstream默认允许反序列化任意类型，可能导致严重的安全风险。教程将详细介绍如何通过类型白名单机制，即结合使用`notypepermission.none`和`allowtypes`方法，明确限制可反序列化的类，从而有效防范此类攻击，提升应用程序的安全性。

理解反序列化不受信任数据漏洞

“反序列化不受信任数据”是一种常见的安全漏洞，当应用程序从不可信来源接收序列化数据（如XML、JSON、二进制流）并将其反序列化为对象时，如果未对数据进行充分验证和限制，攻击者可以通过构造恶意数据来执行任意代码、拒绝服务或绕过安全控制。

在Java生态系统中，许多序列化库都曾曝出此类漏洞，XStream作为一款流行的XML序列化/反序列化库，由于其默认行为允许反序列化XML中指定的任何类型，因此在处理外部输入时尤其容易受到此漏洞的影响。安全扫描工具如Checkmarx会检测到这种潜在风险。

XStream默认行为的风险

考虑以下使用XStream进行XML反序列化的常见场景：

import com.thoughtworks.xstream.XStream;
import com.thoughtworks.xstream.io.xml.StaxDriver;
import com.thoughtworks.xstream.security.NoTypePermission;

// 假设MyMessage是一个自定义类，包含一些属性
class MyMessage {
    private String content;
    private int id;

    public MyMessage(String content, int id) {
        this.content = content;
        this.id = id;
    }

    // Getters and Setters
    public String getContent() { return content; }
    public void setContent(String content) { this.content = content; }
    public int getId() { return id; }
    public void setId(int id) { this.id = id; }

    @Override
    public String toString() {
        return "MyMessage{" +
               "content='" + content + '\'' +
               ", id=" + id +
               '}';
    }
}

public class VulnerableDeserialization {
    public static void main(String[] args) {
        // 模拟从请求参数获取XML字符串
        String message = "<MyMessage><content>Hello</content><id>123</id></MyMessage>"; // 假设这是来自用户输入的XML
        // 攻击者可以构造恶意XML，尝试反序列化任意类，例如：
        // String maliciousMessage = "<java.util.Collections_-UnmodifiableSet serialization=\"custom\"><java.util.Collections_-UnmodifiableCollection><default/><method name=\"readObject\" class=\"java.beans.EventHandler\"/><object class=\"java.beans.EventHandler\"><target class=\"java.lang.Runtime\"/><action>exec</action><argument>calc.exe</argument></object></java.util.Collections_-UnmodifiableCollection></java.util.Collections_-UnmodifiableSet>";

        XStream parser = new XStream(new StaxDriver());
        // 这一行在默认情况下是脆弱的，因为XStream会尝试根据XML内容创建任何对象
        MyMessage messageObj = (MyMessage) parser.fromXML(message); 
        System.out.println("Deserialized object: " + messageObj);
    }
}

登录后复制

在上述代码中，parser.fromXML(message)这一行是Checkmarx扫描可能标记为“反序列化不受信任数据”的关键点。其根本原因在于，XStream在初始化时默认允许反序列化XML中指定的任何类。如果攻击者能够控制message变量的内容，他们就可以构造一个恶意XML，其中包含指向应用程序类路径中存在的任意类的引用，甚至可以触发远程代码执行（RCE）。

Weights.gg

多功能的AI在线创作与交流平台

3352

查看详情

解决方案：XStream类型白名单机制

为了缓解这一漏洞，XStream提供了强大的安全框架，允许开发者通过类型白名单（Type Whitelisting）机制，明确指定哪些类可以被反序列化。这是一种“默认拒绝，明确允许”的安全策略，极大地降低了风险。

以下是修复上述漏洞的推荐方法：

import com.thoughtworks.xstream.XStream;
import com.thoughtworks.xstream.io.xml.StaxDriver;
import com.thoughtworks.xstream.security.NoTypePermission; // 导入NoTypePermission

// 假设MyMessage是一个自定义类，包含一些属性
class MyMessage {
    private String content;
    private int id;

    public MyMessage(String content, int id) {
        this.content = content;
        this.id = id;
    }

    // Getters and Setters
    public String getContent() { return content; }
    public void setContent(String content) { this.content = content; }
    public int getId() { return id; }
    public void setId(int id) { this.id = id; }

    @Override
    public String toString() {
        return "MyMessage{" +
               "content='" + content + '\'' +
               ", id=" + id +
               '}';
    }
}

public class SecureDeserialization {
    public static void main(String[] args) {
        // 模拟从请求参数获取XML字符串
        String message = "<MyMessage><content>Hello</content><id>123</id></MyMessage>"; // 假设这是来自用户输入的XML

        XStream parser = new XStream(new StaxDriver());

        // 1. 首先，拒绝所有类型的反序列化权限
        parser.addPermission(NoTypePermission.NONE);

        // 2. 然后，明确允许需要反序列化的类型
        // 必须允许MyMessage类，因为它就是我们期望反序列化的目标对象
        // 如果MyMessage类中包含String类型的字段，也需要允许String.class
        parser.allowTypes(new Class[] {MyMessage.class, String.class});

        // 现在，XStream只会尝试反序列化MyMessage和String类型的对象
        MyMessage messageObj = (MyMessage) parser.fromXML(message); 
        System.out.println("Deserialized object: " + messageObj);
    }
}

登录后复制

代码解释与注意事项

parser.addPermission(NoTypePermission.NONE); 这是实现安全反序列化的第一步，也是最关键的一步。NoTypePermission.NONE是一个特殊的权限，它指示XStream拒绝所有类型的反序列化。这意味着在调用此方法后，XStream将默认不允许反序列化任何类，从而关闭了默认的开放式反序列化行为。
parser.allowTypes(new Class[] {MyMessage.class, String.class}); 在拒绝所有类型之后，我们需要明确地告诉XStream哪些类型是被允许反序列化的。
- MyMessage.class: 这是我们期望从XML中反序列化的主要业务对象。它必须被允许。
- String.class: 许多自定义类（如MyMessage）会包含String类型的字段。String类本身以及大多数Java基本类型（如int, long, boolean等）通常被认为是安全的，因为它们不包含可被恶意利用的复杂行为。因此，如果你的MyMessage对象中包含String类型的属性，则需要显式地允许String.class。如果缺少，XStream将无法正确反序列化MyMessage中的字符串字段。
Checkmarx检测原理 通过上述两行代码，我们强制XStream进入一个严格的安全模式。当Checkmarx或其他静态代码分析工具检测到parser.fromXML()调用时，它会分析XStream实例的配置。如果发现NoTypePermission.NONE和allowTypes（或类似的白名单配置）被正确应用，它就会认为该反序列化操作已经过“净化”或“沙箱化”，从而不再标记为“反序列化不受信任数据”漏洞。

总结与最佳实践

默认拒绝，明确允许： 这是反序列化安全的核心原则。永远不要信任来自外部的序列化数据，除非你已经明确验证并限制了其可以反序列化的类型。
谨慎选择允许的类型： 仅允许应用程序确实需要反序列化的最小集合的类型。确保这些被允许的类型本身是安全的，不包含任何可被恶意利用的敏感操作或构造函数。
链式攻击防范： 即使你允许的类型本身是安全的，也需要警惕这些类型的数据内容被下游代码不安全地使用。例如，如果反序列化后的String对象被直接用于执行操作系统命令，这可能导致命令注入漏洞。反序列化安全只是整个应用程序安全链条中的一环。
定期安全审计： 持续进行安全扫描（如Checkmarx）和渗透测试，以发现并修复潜在的漏洞。
考虑替代方案： 如果业务场景允许，可以考虑使用更轻量级、更安全的序列化格式（如JSON）或自定义解析器，尤其是在不需要复杂对象图反序列化的情况下。如果XML结构固定且有XSD，也可以考虑使用JAXB等基于XSD的工具进行强类型解析。