Java序列化的状态( 四 )
通过运行时保护来减少序列化暴露
一个可以监控风险并自动化可重复安全专业知识的系统对于很多企业来说都是很有用的 。 Java应用程序可以将JVMTI工具嵌入到安全监控系统中 , 通过插桩的方式将传感器植入到应用程序中 。 Contrast Security是这个领域的一个免费产品 , 它是JavaOne大会的Duke's Choice大奖得主 。 与其他软件项目(如MySQL或GraalVM)类似 , Contrast Security的社区版 对开发人员是免费的 。
将运行时插桩应用在Java安全性上的好处是它不需要修改代码 , 并且可以直接集成到JRE中 。
它有点类似于面向切面编程 , 将非侵入式字节码嵌入到源端(远程数据进入应用程序的入口)、接收端(以不安全的方式使用数据)和转移(安全跟踪需要从一个对象移动到另一个对象) 。
通过集成每个“接收端”(如ObjectInputStream) , 运行时保护机制可以添加额外的功能 。 在从JDK 9移植反序列化过滤器之前 , 这个功能对序列化和其他攻击的类型(如SQL注入)来说至关重要 。
集成这个运行时保护机制只需要修改启动标志 , 将javaagent添加到启动选项中 。 例如 , 在Tomcat中 , 可以在bin/setenv.sh中添加这个标志:
推荐阅读
- kpl|赖神撞车双职业,赛后见到ID很唏嘘!KPL第一射手如今怎么这状态
- 斗鱼|斗鱼PEL:顾居居决赛圈不容小觑?TEC更是状态拉满,两鸡晋级
- 第五人格|第五人格IVL:新一周比赛XROCK对战ZQ,哪支队伍率先调整状态
- estar|eStar零封GK找回状态,清融表现可圈可点,有望突破上限
- ag战队|AG状态回暖肉眼可见,最初指挥能力碾压猫神,粉丝呼吁首发锁死
- edg战队|就目前GG和C9的状态来看,EDG进决赛是有机会的,但是不会很顺
- edg战队|恭喜EDG晋级决赛!EDG 3-2 GEN,全员状态拉满
- 狼队|狼队成败在今屿?易峥被妖刀打成eStar薄弱点!Fly状态终于回来了
- ag战队|AG五人组锁死,久诚、最初双子星闪耀赛场,一诺、初晨状态被激活
- gen.g战队|Clid状态火热,神僧降临,帮助GEN.G将比赛带入天王山!