Dynamic Code Evaluation:Unsafe Deserialization 动态代码评估:不安全反序列化 Abstract: 在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致 Denial of Service。 Explanation: Java 序列化会将对象图转换为字节流(包含对象本身和必要的元数据),以便通过字节流...
你可以用accept以及reject方法更安全的反序列化操作。例子:
https://kingx.me/commons-collections-java-deserialization.html 关于作者 Hollis(ID:hollischuang),一个对Coding有着独特追求的人,现任阿里巴巴技术专家,个人技术博主,技术文章全网阅读量数千万,《程序员的三门课》联合作者。 参考来源 Hollis # 漏洞# 反序列# 远程执行 ...