反序列化漏洞原理/防御

本文阅读 1 分钟
首页 安全分享,WEB安全 正文

序列化就是将对象转换成字节流,可以更方便的将数据保存到本地文件

反序列化就是将字节流还原成对象

Java中提供了两个接口来支持序列化,ObjectIutputStream()和ObjectOutputStream()

序列化相对安全,问题出在反序列化的过程

原理

攻击者通过构造恶意的参数,使数据在在反序列化后生成特殊的对象类型,从而执行恶意代码

问题的根源在于,反序列化时没有对生成的对象类型做限制

防御

反序列化漏洞的防御主要以白名单为主,限制对象的类型,从而减小影响

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/wangyuxiang946/article/details/118880347
-- 展开阅读全文 --
Redis底层数据结构--跳跃表
« 上一篇 04-28
BUUCTF Web [强网杯 2019]随便注
下一篇 » 06-24

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复