java反序列化漏洞对策 - 邢立军的技术专栏 - ITeye博客

`

xinglijun1973

浏览: 54962 次

最近访客更多访客>>

XiaoPY

jstl1point0

u012363178

lubin83

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

xinglijun1973： NULLS FIRST错误：在框架的nims分支，如webfr ...
诺祺skyon-webframe相关问题
xinglijun1973： <Connector port="8443&q ...
tomcat 处理 https 漏洞
xinglijun1973：对应小表可以使用二级缓存缓存起来。1）打开查询缓存 hiber ...
基于Spring与Hibernate的数据库操作进阶
xinglijun1973： xinglijun1973 写道问题：虽然ciphers中写了 ...
tomcat 处理 https 漏洞
xinglijun1973：问题：虽然ciphers中写了很多加密套件，但测试结果只有少数 ...
tomcat 处理 https 漏洞

请您先登录，才能继续操作

java反序列化漏洞对策

博客分类：

诺祺

阅读更多

1）java反序列化漏洞请百度。
2）对策：
ObjectInputStream.readObject()的地方改为附件中的
SerialKiller.readObject()。

附件有2个文件：
SerialKiller.conf为配置文件，可以指定白名单，仅仅对白名单中的类反序列化
SerialKiller.java为ObjectInputStream的子类，覆盖了resolveClass方法（此会被readObject（）方法调用），加入了类名检查，确保反序列的是安全的类。

可以将附件的2个文件复制到你的项目中，或者将附件的maven项目编译为jar文件使用。

SerialKiller-master.zip (18.4 KB)
下载次数: 14

0
顶

1
踩

分享到：

tomcat 处理 https 漏洞 | 2个漏洞X-Frame-Options和Cookie without ...

2017-06-01 09:49
浏览 1335
评论(0)
分类:企业架构
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Java反序列化漏洞利用工具.zip: Java反序列化漏洞是软件安全领域的一个重要话题，它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程，而反序列化则是将这些数据恢复为原来的对象...

Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271: Java反序列化漏洞是软件安全领域的一个重要话题，特别是在企业级应用服务器如Weblogic中，这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...

Java反序列化漏洞利用工具V1.7.jar: Java反序列化漏洞利用工具

java反序列化漏洞-验证.rar: Java反序列化漏洞是软件安全领域的一个重要话题，尤其对于使用Java进行开发的系统来说，理解和防范这种漏洞至关重要。在Java编程中，序列化和反序列化是常见的数据传输和持久化手段，允许对象的状态被转换为字节流，...

Java反序列化漏洞探析及其修复方法研究.pdf: Java反序列化漏洞是一种在信息安全领域引起广泛关注的新型高危漏洞，其最早在2015年被曝出，存在于Apache Commons Collections等公共库中。Java反序列化漏洞主要影响基于Java编写的各类应用程序，由于其能够远程执行...

基于字节码搜索的Java反序列化漏洞调用链挖掘方法.pdf: Java反序列化漏洞是一种在Java应用程序中常见的安全漏洞，它发生在应用程序反序列化不可信的数据时，而这些数据可能被篡改，导致恶意代码执行。由于Java类库功能的不断更新与扩展，反序列化漏洞的潜在范围越来越广。...

Java反序列化漏洞利用集成工具: Java反序列化漏洞是软件安全领域的一个重要话题，尤其对于Java开发者和安全研究人员而言。这个“Java反序列化漏洞利用集成工具”很可能是一个用于测试和分析Java应用中反序列化漏洞的工具集。下面，我们将深入探讨...

java反序列化漏洞工具: Java反序列化漏洞是一种安全问题，它出现在程序在接收到网络传输的数据时，不恰当地将这些数据反序列化为对象，导致恶意代码被执行。在WebLogic服务器等Java应用程序中，这种漏洞可能导致权限提升、系统控制甚至数据...

Java反序列化漏洞利用工具（全）: java反序列化漏洞利用工具包含jboss|weblogic，网上其实有很多，但是用别人的工具收30分是不是有点不厚道，所以我用自己的分下载下来，然后以最低分贡献给大家，上次没有审核通过，希望这次可以……

Java反序列化漏洞利用工具（WebLogic&Jboss）: 使用注意： 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版，请尽量按照正常思路来用，...5. 体积更小，不再依赖java环境，但程序采用.net编写，需要.net 4.0环境待完成： weblogic回显结果测试中，稍后加入

Oracle+Weblogic+Server+Java反序列化漏洞解决方案: Oracle+Weblogic+Server+Java反序列化漏洞解决方案 Oracle+Weblogic+Server+Java反序列化漏洞解决方案

weblogic的JAVA反序列化漏洞修改方法: windows版weblogic的JAVA反序列化漏洞修改方法，亲测

6、java反序列化漏洞.pdf: Java 反序列化漏洞 Java 反序列化漏洞是指在 Java 中，对象的序列化和反序列化过程中存在的安全漏洞。序列化是将对象的状态信息转换为可以存储或传输形式的过程，而反序列化是将对象数据从按照某一种标准，解析成...

Java反序列化漏洞1: Java反序列化漏洞1 Java反序列化漏洞是一种常见的安全漏洞，发生在Java语言中。当攻击者能够控制序列化的输入时，Java的反序列化机制可能会将恶意对象反序列化，导致安全问题。本文将详细介绍Java反序列化漏洞的...

Java反序列化终极测试工具.zip: 本压缩包“Java反序列化终极测试工具.zip”提供了两款专门用于测试Java反序列化漏洞的工具，这可以帮助开发者和安全研究人员检测其应用程序是否存在此类风险。 1. **JBOSS_EXP.jar**：这个工具可能专门针对JBOSS...

weblogic10.3.6补丁（java反序列化漏洞更新步骤）.docx: WebLogic 10.3.6 补丁（Java 反序列化漏洞更新步骤） WebLogic 10.3.6 补丁是一种安全补丁，旨在修复 Java 反序列化漏洞，该漏洞可能会导致 WebLogic 服务器遭受远程攻击。下面是 WebLogic 10.3.6 补丁的更新步骤：...

Global site tag (gtag.js) - Google Analytics