文件名称:java教务系统源码-marshalsec:元帅
文件大小:500KB
文件格式:ZIP
更新时间:2024-06-25 04:32:36
系统开源
java教务系统源码Java Unmarshaller Security - 将数据转化为代码执行 纸 距离 Chris Frohoff 和 Garbriel Lawrence 展示他们对 Java 对象反序列化漏洞的研究已经两年多了,最终导致了 Java 历史上最大的远程代码执行错误浪潮。 对此事的研究表明,这些漏洞不仅限于像 Java 序列化或 XStream 这样具有表现力的机制,但有些漏洞也可能适用于其他机制。 本文介绍了各种 Java 开源编组库的分析,包括利用细节,这些库允许(编辑)对任意的、攻击者提供的类型进行解组,并表明无论该过程如何执行以及存在哪些隐式约束易于使用类似的开发技术。 全文在 免责声明 所有信息和代码仅用于教育目的和/或测试您自己的系统是否存在这些漏洞。 用法 需要 Java 8。 使用 maven mvn clean package -DskipTests 。 运行方式 java -cp target/marshalsec-0.0.1-SNAPSHOT-all.jar marshalsec. < Marshaller > [-a] [-v] [-t] [