java反序列化漏洞对策
程序员文章站
2022-07-15 13:49:39
...
1)java反序列化漏洞请百度。
2)对策:
ObjectInputStream.readObject()的地方改为 附件中的
SerialKiller.readObject()。
附件有2个文件:
SerialKiller.conf为配置文件,可以指定白名单,仅仅对白名单中的类反序列化
SerialKiller.java为ObjectInputStream的子类,覆盖了resolveClass方法(此会被readObject()方法调用),加入了类名检查,确保反序列的是安全的类。
可以将附件的2个文件复制到你的项目中,或者将附件的maven项目编译为jar文件使用。
2)对策:
ObjectInputStream.readObject()的地方改为 附件中的
SerialKiller.readObject()。
附件有2个文件:
SerialKiller.conf为配置文件,可以指定白名单,仅仅对白名单中的类反序列化
SerialKiller.java为ObjectInputStream的子类,覆盖了resolveClass方法(此会被readObject()方法调用),加入了类名检查,确保反序列的是安全的类。
可以将附件的2个文件复制到你的项目中,或者将附件的maven项目编译为jar文件使用。