java反序列化排查
【摘要】 反序列化漏洞主要分为四种情况:1.原生java场景2.JSON场景3.XML场景4.YAML场景对应的工具或者关键字排查:1.原生java场景:ObjectInputStrem 、readObject() 、defaultReadObject 建议解决方案:安全校验,如类名校验2.JSON场景:parseObject()、parse()、ObjectMapper.reaValue ...
反序列化漏洞主要分为四种情况:
1.原生java场景
2.JSON场景
3.XML场景
4.YAML场景
对应的工具或者关键字排查:
1.原生java场景:ObjectInputStrem 、readObject() 、defaultReadObject
建议解决方案:安全校验,如类名校验
2.JSON场景:parseObject()、parse()、ObjectMapper.reaValue
建议解决方案:1.fastJson设置setAutoTypeSupport(false)。 2.jackson不开启类型绑定。 开启:enableDefaultTyping()
建议解决方案:安全校验,如类名校验
3.XML场景:fromXML()
建议解决方案:安全校验,如类名校验
4.YAML场景:yaml.load 、YamlReader 、yaml.read
建议解决方案:安全校验, 如类名校验
【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱:
cloudbbs@huaweicloud.com
- 点赞
- 收藏
- 关注作者
评论(0)