xStream:Security framework of XStream not initialized, XStream is probably vulnerable.

最新推荐文章于 2022-07-06 22:48:19 发布
最新推荐文章于 2022-07-06 22:48:19 发布
阅读量2w 收藏 9
点赞数 3
分类专栏: 数据格式
本文为博主九师兄(QQ:541711153 欢迎来探讨技术)原创文章,未经允许博主不允许转载。
本文链接:https://blog.csdn.net/qq_21383435/article/details/82316262
版权
数据格式 专栏收录该内容
28 篇文章 467 订阅 ¥9.90 ¥99.00
订阅专栏
博客指出xStream的安全框架未初始化,导致可能存在安全风险。解决方案是为xStream对象启用默认安全防护并指定可信任的类。评论中提到,若仅需其XML转换功能,可通过简化设置来规避复杂的安全配置。
摘要由CSDN通过智能技术生成

在这里插入图片描述

意思是:xstream 的安全框架没有初始化,xstream 容易受攻击。

解决方法:xStream对象设置默认安全防护,同时设置允许的类

XStream xStream = newXStream();
XStream.setupDefaultSecurity(xStream);
xStream.allowTypes(new Class[]{Test.class, Test1.class});

来自网友评论

本身是一种安全机制,但是我们仅仅使用它的xml转换功能,没必要这么复杂,直接设置如下一行代码即可解决

xstream.allowTypesByRegExp(new String[
了解本专栏 订阅专栏 解锁全文
九师兄
关注
专栏目录
订阅专栏
项目将com.thoughtworks.xstream升级到1.4.18遇到的问题:com.thoughtworks.xstream.security.ForbiddenClassException
张志文的博客
09-01 7574
项目开发需求将xstream从1.4.17升级到1.4.18,升级后遇到了序列化问题,描述如下: om.thoughtworks.xstream.security.ForbiddenClassException: com.jd.jcloud.wms.pickingplan.dto.eclp.SoOrderCancelReceipt at com.thoughtworks.xstream.security.NoTypePermission.allows(NoTypePermission.java:26) ~[
XStream 反序列化漏洞 (CVE-2020-26258 & 26259) 的复现与分析
smellycat000的专栏
12-16 3711
聚焦源代码安全,网罗国内外最新资讯!Xstream 是 Java 类库,用来将对象序列化成 XML (JSON) 或反序列化为对象。XStream 是一款开源软件,允许在 BSD 许可...
xstream security framework of xstream not initialized xstream is probably vulnerable 问题解决办法
zgz15515397650的博客
03-01 8963
xstream security framework of xstream not initialized xstream is probably vulnerable 最近在使用 XStream 1.4.10 版本的时候遇到了一个安全问题:“xstream security framework of xstream not initialized xstream is probably vuln...
xStream:Security framework of XStream not initialized, XStream is probably vulnerable
霓虹深处
08-31 8498
今天在做微信公众号开发的时候,在解析xml的时候有一个红色的警告;大致的意思是说,XStream 的安全框架没被初始化,xstream 容易受攻击,这是一段红色的提示,实际使用过程中也没有大的问题。但是作为开发者来说,一个红色的提示太耀眼了,可能还是强迫症在作怪,所以我一直想把这个红色的提示给去掉。 xStream:Security framework of XStream not initi...
XStream 1.4.10 警告: Security framework of XStream not initialized, XStream is probably vulnerable
weixin_30872867的博客
01-20 1960
参考:www.fengyunxiao.cn XStream 1.4.10 出现警告:Security framework of XStream not initialized, XStream is probably vulnerable. 意思是:xstream 的安全框架没有初始化,xstream 容易受攻击。 解决方法:xStream对象设置默认安全防护,同时设置允许的类 ...
XStream 1.4.10 出现警告:Security framework of XStream not initialized, XStream is probably vulnerable
张圣晨的博客
01-20 2万+
意思是:xstream 的安全框架没有初始化,xstream 容易受攻击。 解决方法:xStream对象设置默认安全防护,同时设置允许的类 XStream xStream = newXStream(); XStream.setupDefaultSecurity(xStream); xStream.allowTypes(new Class[]{Test.class, Test1.clas...
xstream-1.4.11-API文档-中文版.zip
07-14
赠送jar包:xstream-1.4.11.jar; 赠送原API文档:xstream-1.4.11-javadoc.jar; 赠送源代码:xstream-1.4.11-sources.jar; 赠送Maven依赖信息文件:xstream-1.4.11.pom; 包含翻译后的API文档:xstream-1.4.11-...
com.springsource.com.thoughtworks.xstream-1.3.1.jar
03-03
jar包,官方版本,自测可用
com.thoughtworks.xstream.XStream操作XML和java对象的一些用法
08-06
String xml = xstream.toXML(user); ``` 这将会生成类似下面的XML字符串: ```xml <name>Alice <age>25 ``` 2. **将List集合转换成XML文档** 如果你有一个User对象的List,XStream同样可以处理: ``...
xstream-1.4.10-java7.jar
07-12
xstream-1.4.10-java7.jar。 稳定版,由jdk1.7编译。
xStream完整Jar包
12-13
本来想0分上传的,但是最低是1,这是测试没有报错的完整jar包
XStream反序列化漏洞(cve-2020-26258/cve-2020-26259)
chaojixiaojingang
12-17 3699
1.漏洞描述 XStream是一个常用的Java对象和XML相互转换的工具。在运行XSteam的服务上,未授权的远程攻击者通过构造特定的序列化数据 ,可造成任意文件删除/服务端请求伪造(SSRF) 。 2.影响版本 XStream <= 1.4.14 3.漏洞POC 1)cve-2020-26259:任意文件删除 import com.thoughtworks.xstream.XStream; /* CVE-2020-26259: XStream is vulnerab...
XStream
weixin_30664615的博客
06-28 84
官网地址:XStream Maven <!-- https://mvnrepository.com/artifact/com.thoughtworks.xstream/xstream --> <dependency> <groupId>com.thoughtworks.xstream</groupId> <artifactId&...
XStream xstream = new XStream();出错的解决方案
aini123654789的博客
04-14 605
使用XStream xstream = new XStream();不仅需要xstream.jar还需要xmlpull.jar 转载于:https://www.cnblogs.com/xxqxxq/p/6709014.html
问题记录:XStream ForbiddenClassException 异常
qq_35316141的博客
07-06 4668
XStream ForbiddenClassException 异常解决
XStream升级1.4.18问题
LiJiVV的博客
09-02 8522
XStream于2021.08.22升级了1.4.18版本,本次改动很大,看看官网说了啥 大概的意思是说,9年前,XStream整了一个安全框架,用来反序列化时为允许的类型实现黑名单或白名单,在版本1.4.17之前,XStream保留了一个默认黑名单,以拒绝所有类型的Java运行时(用于各种安全攻击),从而保证现有用户的最佳运行时兼容性。然而,这种方法失败了(它每个版本补漏洞就是把已知的攻击加到黑名单中)。经过几个月的研究,仅Java运行时就包含了数十种可用于攻击的类型,甚至不需要查看类路径.
Fusker - A NodeJS Security Framework
cnbird's blog
04-09 1808
http://www.slideshare.net/wearefractal/fusker-a-nodejs-security-framework-8850586 http://bishankochher.blogspot.com/2011/12/nodejs-security-good-bad-and-ugly.html
Logging initialized using 'class org.apache.ibatis.logging.stdout.StdOutImpl' adapter
热门推荐
万米高空的博客
05-24 9万+
SSM框架项目启动发现启动不起来,反而控制台无限输出:Logging initialized using 'class org.apache.ibatis.logging.stdout.StdOutImpl' adapter. ,这个错误只有在和Spring集成的情况下才会出现。 每次只要出现这个错误都意味着Mybatis的存放sql操作的XML出错了,但是具体是那个XML还没法直接确认,因为这...
maven的pom 提示错误 Failure to transfer com.thoughtworks.xstream:xstream:jar:
最新发布
05-17
<mirrorOf>*</mirrorOf> <name>Aliyun Maven Mirror <url>https://maven.aliyun.com/repository/public</url> ``` 这里以阿里云为例,将 Maven 中央仓库的地址替换为阿里云的镜像地址。 4. 如果以上方法...
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

九师兄

你的鼓励是我做大写作的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值