V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
bl
V2EX  ›  问与答

为什么反序列化的漏洞时不时就爆出来一个?

  •  
  •   bl · 2020-07-14 11:25:35 +08:00 · 1650 次点击
    这是一个创建于 507 天前的主题,其中的信息可能已经有所发展或是发生改变。
    11 条回复    2020-07-15 09:45:10 +08:00
    amwyyyy
        1
    amwyyyy  
       2020-07-14 11:42:38 +08:00
    因为漏洞补得不彻底,每次修复后都被发现新漏洞
    ila
        2
    ila  
       2020-07-14 11:55:29 +08:00 via Android
    为了 kpi
    zhenlang
        3
    zhenlang  
       2020-07-14 12:00:29 +08:00
    害,我面试国内某安全厂商的时候,对方问我知道 java 的序列化与反序列化吗?我一脸懵逼
    wysnylc
        4
    wysnylc  
       2020-07-14 12:01:35 +08:00
    因为本质上是字符串转对象,参考前端 xss 和 sql 注入只能预防没法杜绝
    hyperbin
        5
    hyperbin  
       2020-07-14 12:43:16 +08:00 via Android
    参考 Flash,对输入高度自由的程序本身就是个天坑
    binux
        6
    binux  
       2020-07-14 13:14:12 +08:00 via Android
    @wysnylc #4 当然能杜绝,限制可序列化的类型就行了。
    dongyx
        7
    dongyx  
       2020-07-14 16:55:10 +08:00 via iPhone   ❤️ 1
    因为反序列化的本质,是把字符串转换为可执行的结构,这种过程天然容易引发安全问题。
    madNeal
        8
    madNeal  
       2020-07-14 17:02:32 +08:00
    赞同楼上的观点,反序列化的本质就是容易引发安全问题,所以最好的方法就是不用反序列化。但是有需求,稍不注意,就有漏洞了
    sagaxu
        9
    sagaxu  
       2020-07-14 17:08:03 +08:00 via Android
    反序列化漏洞,fastjson 独占半壁江山
    mgcnrx11
        10
    mgcnrx11  
       2020-07-14 21:12:16 +08:00 via iPhone
    msg7086
        11
    msg7086  
       2020-07-15 09:45:10 +08:00
    反序列化,如果只是生成结构体,倒也还好。
    但是如果要生成对象,就很可能出现问题,因为涉及到对象代码执行。
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1847 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 16:27 · PVG 00:27 · LAX 08:27 · JFK 11:27
    ♥ Do have faith in what you're doing.