Java序列化的状态
Java序列化的状态
关键要点
Java序列化在很多库中引入了安全漏洞 。
对序列化进行模块化处于开放讨论状态 。
如果序列化能够成为模块 , 开发人员将能够将其从攻击表面上移除 。
移除其他模块可以消除它们所带来的风险 。
插桩提供了一种编织安全控制的方法 , 提供现代化的防御机制 。
多年来 , Java的序列化功能饱受 安全漏洞 和zero-day攻击 , 为此赢得了“ 持续奉献的礼物 ”和“ 第四个不可饶恕的诅咒 ”的绰号 。
作为回应 , OpenJDK贡献者团队讨论了一些用于限制序列化访问的方法 , 例如将其 提取到可以被移除的jigsaw模块中 , 让黑客无法攻击那些不存在的东西 。
一些文章(例如“ 序列化必须死 ”)提出了这样的建议 , 将有助于防止 某些流行软件(如VCenter 6.5)的漏洞被利用 。
推荐阅读
- kpl|赖神撞车双职业,赛后见到ID很唏嘘!KPL第一射手如今怎么这状态
- 斗鱼|斗鱼PEL:顾居居决赛圈不容小觑?TEC更是状态拉满,两鸡晋级
- 第五人格|第五人格IVL:新一周比赛XROCK对战ZQ,哪支队伍率先调整状态
- estar|eStar零封GK找回状态,清融表现可圈可点,有望突破上限
- ag战队|AG状态回暖肉眼可见,最初指挥能力碾压猫神,粉丝呼吁首发锁死
- edg战队|就目前GG和C9的状态来看,EDG进决赛是有机会的,但是不会很顺
- edg战队|恭喜EDG晋级决赛!EDG 3-2 GEN,全员状态拉满
- 狼队|狼队成败在今屿?易峥被妖刀打成eStar薄弱点!Fly状态终于回来了
- ag战队|AG五人组锁死,久诚、最初双子星闪耀赛场,一诺、初晨状态被激活
- gen.g战队|Clid状态火热,神僧降临,帮助GEN.G将比赛带入天王山!