昆明java培训
达内昆明广州春城路

18487146383

热门课程

为何Java序列化漏洞还未被修复?

  • 时间:2016-07-29
  • 发布:昆明Java培训
  • 来源:51CTO

众所周知,Java的序列化漏洞在一年多以前,就被一位安全研究人员在PayPal的服务器中发现。大家都很好奇的是:这到底是个什么样的漏洞?为什么它没有被修复?黑客是怎样攻击它的?

Java序列化漏洞发生在:当输入内容从已经通过互联网提交的格式转换成另一种格式时,随后这种格式会保存在数据库中。当该漏洞存在时,在这个转换过程中处理的数据可被用于在某些易受攻击软件中进行远程代码执行。该漏洞曾被认为只是理论上的,因为其非常难以被利用,但后来FoxGlove Security在博客文章中发布了针对其可广泛使用的软件漏洞利用代码。通过这个漏洞利用代码,Java序列化漏洞成了企业需要应对的问题。

在安全研究人员Mark Litchfield发现这个漏洞后,PayPal工程人员检查了这个特定的Java序列化漏洞,并介绍了他们如何在其系统中修复了这个漏洞。安全研究人员Michael Stepankin也详细探讨了他如何通过这个漏洞在PayPal服务器远程执行代码。

在PayPal工程人员寻找其产品中漏洞代码的过程中我们可了解到,为什么企业(包括PayPal)没有在漏洞利用代码发布前修复这个漏洞:因为如果企业没有中央软件开发资源库,他们非常难以发现这个漏洞代码,他们将需要扫描所有网络应用来寻找易受攻击的系统。

为了抵御这种类型的Java序列化攻击,企业应该将安全整合到其软件开发生命周期中。作为非特权用户运行web服务器而没有在系统执行代码的权限,可减少该漏洞被用于远程代码执行的风险。

上一篇:致我们终将逝去的雅虎
下一篇:智能手机销量增长暂停

达内培训小米MIX 2尊享版工艺精湛

程序猿教你java的创建和销毁对象

昆明java培训-程序猿带你入门到精通

昆明达内-有趣的轻量级图像浏览器

选择城市和中心
贵州省

广西省

海南省