为什么反序列化的漏洞时不时就爆出来一个?

2020-07-14 11:25:35 +08:00
 bl
2080 次点击
所在节点    问与答
11 条回复
amwyyyy
2020-07-14 11:42:38 +08:00
因为漏洞补得不彻底,每次修复后都被发现新漏洞
ila
2020-07-14 11:55:29 +08:00
为了 kpi
zhenlang
2020-07-14 12:00:29 +08:00
害,我面试国内某安全厂商的时候,对方问我知道 java 的序列化与反序列化吗?我一脸懵逼
wysnylc
2020-07-14 12:01:35 +08:00
因为本质上是字符串转对象,参考前端 xss 和 sql 注入只能预防没法杜绝
hyperbin
2020-07-14 12:43:16 +08:00
参考 Flash,对输入高度自由的程序本身就是个天坑
binux
2020-07-14 13:14:12 +08:00
@wysnylc #4 当然能杜绝,限制可序列化的类型就行了。
dongyx
2020-07-14 16:55:10 +08:00
因为反序列化的本质,是把字符串转换为可执行的结构,这种过程天然容易引发安全问题。
madNeal
2020-07-14 17:02:32 +08:00
赞同楼上的观点,反序列化的本质就是容易引发安全问题,所以最好的方法就是不用反序列化。但是有需求,稍不注意,就有漏洞了
sagaxu
2020-07-14 17:08:03 +08:00
反序列化漏洞,fastjson 独占半壁江山
mgcnrx11
2020-07-14 21:12:16 +08:00
msg7086
2020-07-15 09:45:10 +08:00
反序列化,如果只是生成结构体,倒也还好。
但是如果要生成对象,就很可能出现问题,因为涉及到对象代码执行。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/689842

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX