课程咨询 :186 8716 1620      qq:2066486918

昆明Java培训 > 达内新闻 > 为何Java序列化漏洞还未被修复?
  • 为何Java序列化漏洞还未被修复?

    发布:昆明Java培训      来源:51CTO      时间:2016-07-29

  • 众所周知,Java的序列化漏洞在一年多以前,就被一位安全研究人员在PayPal的服务器中发现。大家都很好奇的是:这到底是个什么样的漏洞?为什么它没有被修复?黑客是怎样攻击它的?

    Java序列化漏洞发生在:当输入内容从已经通过互联网提交的格式转换成另一种格式时,随后这种格式会保存在数据库中。当该漏洞存在时,在这个转换过程中处理的数据可被用于在某些易受攻击软件中进行远程代码执行。该漏 曾被认为只是理论上的,因为其非常难以被利用,但后来FoxGlove Security在博客文章中发布了针对其可广泛使用的软件漏洞利用代码。通过这个漏洞利用代码,Java序列化漏洞成了企业需要应对的问题。

    在安全研究人员Mark Litchfield发现这个漏洞后,PayPal工程人员检查了这个特定的Java序列化漏洞,并介绍了他们如何在其系统中修复了这个漏洞。安全研究人员Michael Stepankin也详细探讨了他如何通过这个漏洞在PayPal服务器远程执行 码。

    在PayPal工程人员寻找其产品中漏洞代码的过程中我们可了解到,为什么企业(包括PayPal)没有在漏洞利用代码发布前修复这个漏洞:因为如果企业没有中央软件开发资源库,他们非常难以发现这个漏洞代码,他们将需要扫描所有网 络应用来寻找易受攻击的系统。

    为了抵御这种类型的Java序列化攻击,企业应该将安全整合到其软件开发生命周期中。作为非特权用户运行web服务器而没有在系统执行代码的权限,可减少该漏洞被用于远程代码执行的风险。

    推荐文章

上一篇:致我们终将逝去的雅虎

下一篇:智能手机销量增长暂停

最新开班日期  |  更多

Java--零基础全日制班

Java--零基础全日制班

开班日期:11/30

Java--零基础业余班

Java--零基础业余班

开班日期:11/30

Java--周末提升班

Java--周末提升班

开班日期:11/30

Java--零基础周末班

Java--零基础周末班

开班日期:11/30

  • 网址:http://km .java.tedu.cn      地址:昆明市官渡区春城路62号证券大厦附楼6楼
  • 课程培训电话:186 8716 1620      qq:2066486918    全国服务监督电话:400-827-0010
  • 服务邮箱 ts@tedu.cn
  • 2001-2016 达内国际公司(TARENA INTERNATIONAL,INC.) 版权所有 京ICP证08000853号-56