序列化關(guān)鍵字列表
Java反序列化危機(jī)已過,這次來的是.Net反序列化漏洞
2016 年 Java 應(yīng)用程序及開發(fā)者受到反序列化漏洞的破壞性影響,而如今 NET 生態(tài)系統(tǒng)也正在遭受同樣的危機(jī)。在2015年年底,F(xiàn)oxglove Security 的安全研究員,揭開了攻擊者如何利用Java程序中的反序列化漏洞進(jìn)行攻擊。
據(jù)我所知,Java序列化漏洞一年多前已被披露,它由一位安全研究人員在PayPal的服務(wù)器中發(fā)現(xiàn)。作為非特權(quán)用戶運(yùn)行web服務(wù)器而沒有在系統(tǒng)執(zhí)行代碼的權(quán)限,可減少該漏洞被用于遠(yuǎn)程代碼執(zhí)行的風(fēng)險(xiǎn)。
企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號