目录
(4)使用 getSystemClassLoader().loadClass() 方法
前言:
Java 反射机制可以无视类方法、变量去访问权限修饰符(如 protected 、 private等),并且可以调用任何类的任意方法、访问并修改成员变量值。换而言之,在能够控制反射的类名、方法名和参数的前提下,如果我们发现一处 Java 反射调用漏洞,则攻击者几乎可以为所欲为。
目录
(4)使用 getSystemClassLoader().loadClass() 方法
Java 反射机制可以无视类方法、变量去访问权限修饰符(如 protected 、 private等),并且可以调用任何类的任意方法、访问并修改成员变量值。换而言之,在能够控制反射的类名、方法名和参数的前提下,如果我们发现一处 Java 反射调用漏洞,则攻击者几乎可以为所欲为。