TypechoJoeTheme

K.Fire's Blog

K.Fire

没有勇敢的工作
只有困难的打工人
网站页面
搜索到 1 篇与 java 的结果
2016-02-19

Java反序列化终极测试工具

Java反序列化终极测试工具
Java反序列化漏洞产生的原因在java编写的web应用与web服务器间java通常会发送大量的序列化对象例如以下场景:HTTP请求中的参数,cookies以及Parameters。RMI协议,被广泛使用的RMI协议完全基于序列化JMX 同样用于处理序列化对象自定义协议 用来接收与发送原始的java对象在序列化过程中会使用ObjectOutputStream类的writeObject()方法,在接收数据后一般又会采用ObjectInputStream类的readObject()方法进行反序列化读取数据。上述代码中的java类ObjectInputStream在执行反序列化时并不会对自身的输入进行检查,意味着一种可能性,即恶意攻击者构建特定的输入,在ObjectInputStream类反序列化之后会产生非正常结果。而根据最新的研究,利用这一方法可以实现远程执行任意代码。为了进一步说明,可以针对对上述代码进行了一点修改:java反序列化漏洞利用工具结果:java反序列化漏洞利用工具主要修改为自定义了一个被序列化的对象myobject,通过定义myobject实现了java序列化的接口...
K.Fire
2016-02-19

工具

499 阅读
0 评论
2016年02月19日
499 阅读
0 评论