类型: 安全缺陷
在序列化类中,调用一些危险方法,例如反射相关的方法,同时如果应用对用户输入,即不可信数据,没有进行校验就进行反序列化处理,那么攻击者可以通过构造恶意输入,让反序列化产生非预期的对象,非预期的对象在产生过程中就有可能带来任意代码执行。
例如引起2015年java反序列漏洞的组件Apache Commons Collections中的org.apache.commons.collections.functors.InvokerTransformer类。
若有收获,就点个赞吧
0 人点赞
