网络攻击测试_网络攻防测试场景设计
如何防止java编程语言序列化网络攻击
使用严重依赖序列化的库,例如:Xstream、Kryo、BlazeDS和大多数应用程序服务器。使用这些方法的开发人员应考虑使用其他存储和读回数据的替代方法。EishaySmith发布了几个不同序列化库的性能指标。
通过使用逆序列化,攻击者可以用外部数据或字节流来实例化类。影响不管类是否可以序列化,都可以对它进行逆序列化。外部源可以创建逆序列化成类实例的字节序列。这种可能为您带来了大量风险,因为您不能控制逆序列化对象的状态。
157
0
2023-04-28
网络攻防