linux服务器, webSphere "WASPostParam" Cookie 反序列化拒绝服务,这 ...
发布网友
发布时间:2024-09-17 21:49
共1个回答
热心网友
时间:2024-10-04 08:25
序列化和反序列化本身并不存在问题。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码。
修复:
1、建议不要用JDK中的XmlDeocder类,寻求其它更安全的xml解析工具类,考虑是否删除WLS-WebServices组件。
2、官方修复:补丁限定了object,new,method,void,array等字段,限定了不能生成java 实例。
