Java反序列化漏洞(Apache Commons Collections)
CC对JDK标准库的集合类进行了扩展,添加了一些数据结构,并且提供了工具类2015年1月28日,有两个黑客发现了CC的漏洞利用链2.2 源码分析transform()方法可以通过反射机制来进行任意函数的调用通过链式调用,实现InvokeTransformer方法的自动触发1、对利用类进行序列化,然后交给Java程序反序列化2、在进行反序列化时,会执行方法,该方法会用setValue对成员变量的Value值进行修改3、value修改触发了。......
复制链接