`
xinglijun1973
  • 浏览: 55311 次
社区版块
存档分类
最新评论

java反序列化漏洞对策

 
阅读更多
1)java反序列化漏洞请百度。
2)对策:
ObjectInputStream.readObject()的地方改为 附件中的
SerialKiller.readObject()。

附件有2个文件:
SerialKiller.conf为配置文件,可以指定白名单,仅仅对白名单中的类反序列化
SerialKiller.java为ObjectInputStream的子类,覆盖了resolveClass方法(此会被readObject()方法调用),加入了类名检查,确保反序列的是安全的类。

可以将附件的2个文件复制到你的项目中,或者将附件的maven项目编译为jar文件使用。
0
1
分享到:
评论

相关推荐

    Java反序列化漏洞利用工具.zip

    Java反序列化漏洞是软件安全领域的一个重要话题,它涉及到Java应用程序在处理序列化和反序列化过程中的安全问题。序列化是将对象状态转换为可存储或传输的数据格式的过程,而反序列化则是将这些数据恢复为原来的对象...

    Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查工具CVE-2017-10271

    Java反序列化漏洞是软件安全领域的一个重要话题,特别是在企业级应用服务器如Weblogic中,这类漏洞可能导致远程代码执行、系统权限提升等严重后果。工具"Java反序列化漏洞检查工具V1.2_Weblogic XML反序列化漏洞检查...

    Java反序列化漏洞利用工具V1.7.jar

    Java反序列化漏洞利用工具

    java反序列化漏洞-验证.rar

    Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于使用Java进行开发的系统来说,理解和防范这种漏洞至关重要。在Java编程中,序列化和反序列化是常见的数据传输和持久化手段,允许对象的状态被转换为字节流,...

    Java反序列化漏洞探析及其修复方法研究.pdf

    Java反序列化漏洞是一种在信息安全领域引起广泛关注的新型高危漏洞,其最早在2015年被曝出,存在于Apache Commons Collections等公共库中。Java反序列化漏洞主要影响基于Java编写的各类应用程序,由于其能够远程执行...

    基于字节码搜索的Java反序列化漏洞调用链挖掘方法.pdf

    Java反序列化漏洞是一种在Java应用程序中常见的安全漏洞,它发生在应用程序反序列化不可信的数据时,而这些数据可能被篡改,导致恶意代码执行。由于Java类库功能的不断更新与扩展,反序列化漏洞的潜在范围越来越广。...

    Java反序列化漏洞利用集成工具

    Java反序列化漏洞是软件安全领域的一个重要话题,尤其对于Java开发者和安全研究人员而言。这个“Java反序列化漏洞利用集成工具”很可能是一个用于测试和分析Java应用中反序列化漏洞的工具集。下面,我们将深入探讨...

    java反序列化漏洞工具

    Java反序列化漏洞是一种安全问题,它出现在程序在接收到网络传输的数据时,不恰当地将这些数据反序列化为对象,导致恶意代码被执行。在WebLogic服务器等Java应用程序中,这种漏洞可能导致权限提升、系统控制甚至数据...

    Java反序列化漏洞利用工具(全)

    java反序列化漏洞利用工具包含jboss|weblogic,网上其实有很多,但是用别人的工具收30分是不是有点不厚道,所以我用自己的分下载下来,然后以最低分贡献给大家,上次没有审核通过,希望这次可以……

    Java反序列化漏洞利用工具(WebLogic&Jboss)

    使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,...5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入

    Oracle+Weblogic+Server+Java反序列化漏洞 解决方案

    Oracle+Weblogic+Server+Java反序列化漏洞 解决方案 Oracle+Weblogic+Server+Java反序列化漏洞 解决方案

    weblogic的JAVA反序列化漏洞修改方法

    windows版weblogic的JAVA反序列化漏洞修改方法,亲测

    6、java反序列化漏洞.pdf

    Java 反序列化漏洞 Java 反序列化漏洞是指在 Java 中,对象的序列化和反序列化过程中存在的安全漏洞。序列化是将对象的状态信息转换为可以存储或传输形式的过程,而反序列化是将对象数据从按照某一种标准,解析成...

    Java反序列化终极测试工具.zip

    本压缩包“Java反序列化终极测试工具.zip”提供了两款专门用于测试Java反序列化漏洞的工具,这可以帮助开发者和安全研究人员检测其应用程序是否存在此类风险。 1. **JBOSS_EXP.jar**:这个工具可能专门针对JBOSS...

    Java反序列化漏洞1

    Java反序列化漏洞1 Java反序列化漏洞是一种常见的安全漏洞,发生在Java语言中。当攻击者能够控制序列化的输入时,Java的反序列化机制可能会将恶意对象反序列化,导致安全问题。本文将详细介绍Java反序列化漏洞的...

    weblogic10.3.6补丁(java反序列化漏洞更新步骤).docx

    WebLogic 10.3.6 补丁(Java 反序列化漏洞更新步骤) WebLogic 10.3.6 补丁是一种安全补丁,旨在修复 Java 反序列化漏洞,该漏洞可能会导致 WebLogic 服务器遭受远程攻击。下面是 WebLogic 10.3.6 补丁的更新步骤:...

Global site tag (gtag.js) - Google Analytics