This topic created in 2154 days ago, the information mentioned may be changed or developed.
 |
1
amwyyyy Jul 14, 2020
因为漏洞补得不彻底,每次修复后都被发现新漏洞
|
 |
2
ila Jul 14, 2020 via Android
为了 kpi
|
 |
3
zhenlang Jul 14, 2020
害,我面试国内某安全厂商的时候,对方问我知道 java 的序列化与反序列化吗?我一脸懵逼
|
 |
4
wysnylc Jul 14, 2020
因为本质上是字符串转对象,参考前端 xss 和 sql 注入只能预防没法杜绝
|
 |
5
hyperbin Jul 14, 2020 via Android
参考 Flash,对输入高度自由的程序本身就是个天坑
|
 |
7
dongyx Jul 14, 2020 via iPhone  1
因为反序列化的本质,是把字符串转换为可执行的结构,这种过程天然容易引发安全问题。
|
 |
8
madNeal Jul 14, 2020
赞同楼上的观点,反序列化的本质就是容易引发安全问题,所以最好的方法就是不用反序列化。但是有需求,稍不注意,就有漏洞了
|
 |
9
sagaxu Jul 14, 2020 via Android
反序列化漏洞,fastjson 独占半壁江山
|
 |
10
mgcnrx11 Jul 14, 2020 via iPhone
|
 |
11
msg7086 Jul 15, 2020
反序列化,如果只是生成结构体,倒也还好。
但是如果要生成对象,就很可能出现问题,因为涉及到对象代码执行。 |
Select Language