安全
文章平均质量分 69
卷福。
这个作者很懒,什么都没留下…
展开
-
浅析jackson反序列化的白名单机制
初探Jackson白名单机制1.PolymorphicTypeValidator1.1简介1.2 方法1.3使用2.白名单的基本实现1.PolymorphicTypeValidator1.1简介一个关键的类:PolymorphicTypeValidator。该抽象类提供了一些方法用于判断基类及其子类的有效性来决定是否允许Jackson反序列化,所有的这些方法的实现都必须是线程安全的以及可共享的,并且结果缓存在每一个属性上,通常是root级别的,而不是validator级别的。同时缓存也要保证线程安全,原创 2021-04-27 14:22:15 · 2949 阅读 · 1 评论 -
Jackson反序列化的黑名单机制
Jackson黑名单机制1.背景2.黑名单的利用1.背景某些类在反序列化的时候可能是不安全的,会被攻击者利用其漏洞进行攻击,所以jackson采用了黑名单机制,显示声明了哪些类是不能进行反序列化的。2.黑名单的利用jackson把那些有安全问题的类都显示的添加到了SubTypeValidator的一个set字段中,该set中的类都被禁止使用,不能被反序列化。如果有需求需要禁止那些类不能使用,则可以向该set中添加其完整的包名或者类名。...原创 2021-04-27 14:14:48 · 446 阅读 · 0 评论 -
初探RFD-RFD的攻击原理和应对措施
RFD全称Reflection file download,反射文件下载,一种json攻击手段。通过在URL中插入带有可执行文件的内容,一旦被点击这些可执行文件就会被下载并执行,攻击者通过控制文件的内容来达到自身攻击的目的。通过这个文件攻击者可以控制用户的计算机,可以控制浏览器设置包括那些加密的会话,还可以利用已下载的软件的漏洞。攻击者通常使用一些热门的受信任的域名来掩饰这个URL,让用户任务这是个安全的连接可以点击,以此让用户认为所有的操作都是安全的,从而使得攻击能够顺利进行。RFD攻击想要能够进行有原创 2021-04-22 14:52:48 · 1943 阅读 · 1 评论