Java安全之Dubbo反序列化漏洞分析

Java安全之Dubbo反序列化漏洞分析插图1

0x00 前言

最近天气冷,懒癌又犯了,加上各种项目使得本篇文断断续续。

0x01 Dubbo

概述

Dubbo是阿里巴巴开源的基于 Java 的高性能 RPC(一种远程调用) 分布式服务框架(SOA),致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。dubbo 支持多种序列化方式并且序列化是和协议相对应的。比如:Dubbo支持dubbo、rmi、hessian、http、webservice、thrift、redis等多种协议。

运行机制

Dubbo框架启动,容器Container一启动,服务提供者Provider会将提供的服务信息注册到注册中心Registry,注册中心就知道有哪些服务上线了;当服务消费者Consumer启动,它会从注册中心订阅subscribe所需要的服务。

若某个服务提供者变更,比如某个机器下线宕机,注册中心基于长连接的方式将变更信息通知给消费者。

消费者可以调用服务提供者的服务,同时会根据负载均衡算法选择服务来调用。

每次的调用信息、服务信息等会定时统计发送给监控中心Monitor,监控中心能够监控服务的运行状态。

Java安全之Dubbo反序列化漏洞分析插图3

以上图片是官方提供的一个运行流程图

节点

角色说明

Provider

暴露服务的服务提供方

Consumer

调用远程服务的服务消费方

Registry

服务注册与发现的注册中心

Monitor

统计服务的调用次数和调用时间的监控中心

Container

服务运行容器

  1. 服务容器负责启动,加载,运行服务提供者。
  2. 服务提供者在启动时,向注册中心注册自己提供的服务。
  3. 服务消费者在启动时,向注册中心订阅自己所需的服务。
  4. 注册中心返回服务提供者地址列表给消费者,如果有变更,注册中心将基于长连接推送变更数据给消费者。
  5. 服务消费者,从提供者地址列表中,基于软负载均衡算法,选一台提供者进行调用,如果调用失败,再选另一台调用。
  6. 服务消费者和提供者,在内存中累计调用次数和调用时间,定时每分钟发送一次统计数据到监控中心。

在使用Dubbo前,需要搭建一个注册中心,官方推荐使用Zookeeper。

使用

下载解压zookeeper,将里面的zoo_sample.cfg内容,复制到zoo.cfg文件中。

原创文章 Java安全之Dubbo反序列化漏洞分析,版权所有
如若转载,请注明出处:https://www.itxiaozhan.cn/20229100.html

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注