【文件属性】:
文件名称:java教务系统源码-marshalsec:元帅
文件大小:500KB
文件格式:ZIP
更新时间:2021-06-05 10:45:56
系统开源
java教务系统源码Java
Unmarshaller
Security
-
将数据转化为代码执行
纸
距离
Chris
Frohoff
和
Garbriel
Lawrence
展示他们对
Java
对象反序列化漏洞的研究已经两年多了,最终导致了
Java
历史上最大的远程代码执行错误浪潮。
对此事的研究表明,这些漏洞不仅限于像
Java
序列化或
XStream
这样具有表现力的机制,但有些漏洞也可能适用于其他机制。
本文介绍了各种
Java
开源编组库的分析,包括利用细节,这些库允许(编辑)对任意的、攻击者提供的类型进行解组,并表明无论该过程如何执行以及存在哪些隐式约束易于使用类似的开发技术。
全文在
免责声明
所有信息和代码仅用于教育目的和/或测试您自己的系统是否存在这些漏洞。
用法
需要
Java
8。
使用
maven
mvn
clean
package
-DskipTests
。
运行方式
java
-cp
target/marshalsec-0.0.1-SNAPSHOT-all.jar
marshalsec.
<
Marshaller
>
[-a]
[-v]
[-t]
[