linux服务器, webSphere "WASPostParam" Cookie 反序列化拒绝服务,这 ...

发布网友发布时间：2024-09-17 21:49

共1个回答

热心网友时间：2024-10-04 08:25

序列化和反序列化本身并不存在问题。但当输入的反序列化的数据可被用户控制，那么攻击者即可通过构造恶意输入，让反序列化产生非预期的对象，在此过程中执行构造的任意代码。
修复：

1、建议不要用JDK中的XmlDeocder类，寻求其它更安全的xml解析工具类，考虑是否删除WLS-WebServices组件。

2、官方修复：补丁限定了object，new,method,void，array等字段，限定了不能生成java 实例。

声明：本网页内容为用户发布，旨在传播知识，不代表本网认同其观点，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。E-MAIL:11247931@qq.com