这是一个创建于 1382 天前的主题,其中的信息可能已经有所发展或是发生改变。
 |
1
amwyyyy 2020-07-14 11:42:38 +08:00
因为漏洞补得不彻底,每次修复后都被发现新漏洞
|
 |
2
ila 2020-07-14 11:55:29 +08:00 via Android
为了 kpi
|
 |
3
zhenlang 2020-07-14 12:00:29 +08:00
害,我面试国内某安全厂商的时候,对方问我知道 java 的序列化与反序列化吗?我一脸懵逼
|
 |
4
wysnylc 2020-07-14 12:01:35 +08:00
因为本质上是字符串转对象,参考前端 xss 和 sql 注入只能预防没法杜绝
|
 |
5
hyperbin 2020-07-14 12:43:16 +08:00 via Android
参考 Flash,对输入高度自由的程序本身就是个天坑
|
 |
7
dongyx 2020-07-14 16:55:10 +08:00 via iPhone  1
因为反序列化的本质,是把字符串转换为可执行的结构,这种过程天然容易引发安全问题。
|
 |
8
madNeal 2020-07-14 17:02:32 +08:00
赞同楼上的观点,反序列化的本质就是容易引发安全问题,所以最好的方法就是不用反序列化。但是有需求,稍不注意,就有漏洞了
|
 |
9
sagaxu 2020-07-14 17:08:03 +08:00 via Android
反序列化漏洞,fastjson 独占半壁江山
|
 |
10
mgcnrx11 2020-07-14 21:12:16 +08:00 via iPhone
|
 |
11
msg7086 2020-07-15 09:45:10 +08:00
反序列化,如果只是生成结构体,倒也还好。
但是如果要生成对象,就很可能出现问题,因为涉及到对象代码执行。 |
Select Language