BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

反序列化  在InfoQ上的内容 rss

文章所属 反序列化 rss

他的粉丝 Java反序列化漏洞被忽略的大规模杀伤利用 作者 王洋 关注 0 他的粉丝 发布于 2016年1月18日 2015年11月6日,国外 FoxGlove安全研究团队于在其博客上公开了一篇关于常见 Java应用如何利用反序列化操作进行远程命令执行的文章。Java在进行反序列化操作的时候会使用ObjectInputStream类调用 readObject()方法去读取传递过来的序列化对象字节流进行处理,利用 Apache Commons Collections 库恰好可以构造出了一个在反序列化操作时能够自动执行命令的调用链。如果服务端程序没有对用户可控的序列化代码进行校验而是直接进行反序列化使用,并且程序中运行一些比较危险的逻辑,就会触发一些意想不到的漏洞。该漏洞在最新版的WebLogic、WebSphere、JBoss、Jenkins、OpenNMS中都可实现远程代码执行。 1

他的粉丝 序列化和反序列化 作者 刘丁 关注 0 他的粉丝 发布于 2015年5月8日 序列化和反序列化几乎是工程师们每天都要面对的事情,但是要精确掌握这两个概念并不容易:一方面,它们往往作为框架的一部分出现而湮没在框架之中;另一方面,它们会以其他更容易理解的概念出现,例如加密、持久化。然而,序列化和反序列化的选型却是系统设计或重构一个重要的环节,在分布式、大数据量系统设计里面更为显著。恰当的序列化协议不仅可以提高系统的通用性、强健性、安全性、优化系统性能,而且会让系统更加易于调试、便于扩展。本文从多个角度去分析和讲解“序列化和反序列化”,并对比了当前流行的几种序列化协议,期望对读者做序列化选型有所帮助。 4

新闻所属 反序列化 rss

他的粉丝 安全半月谈:细思恐极的移动应用后门和企业开发之困 作者 魏星 关注 0 他的粉丝 发布于 2015年11月16日 1

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT