个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我一直在浏览 Java 9 的新功能,发现了这一点: JEP 290: Filter Incoming Serialization Data根据另一篇文章,java 中的反序列化数据存在安全问题: Deserialization of untrusted data
根据第一篇文章的文本,我有理由相信这是对第二篇文章的问题的反馈,但我不太确定。这个错误对于 Java 来说还存在吗?如果是的话,新的 Java 是否完全解决了这个问题?
最佳答案
首先,不可信数据的反序列化并不像您所描述的那样是Java的错误。
当应用程序开发人员/架构师设计其应用程序时,应用程序会在未经验证的情况下对来自不受信任来源的序列化数据进行反序列化,从而引入该漏洞。
重要的是要了解此漏洞是由不良的应用程序设计引入的。
JEP 290 允许开发人员和/或安全工程师在数据反序列化之前对其进行验证。序列化过滤如果正确完成,可以帮助减轻一些反序列化攻击,但并不能完全解决问题,而且大规模配置和部署非常复杂。
您可以在此处阅读序列化过滤功能的详细评估:https://dzone.com/articles/a-first-look-into-javas-new-serialization-filterin
要更好地了解反序列化漏洞以及如何保护您的应用程序,您可以在此处阅读更多信息:https://dzone.com/articles/why-runtime-compartmentalization-is-the-most-compr
关于java - Java 9计划的 "Filtering Incoming Serialization Data"是否解决了数据反序列化安全漏洞?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/41025927/
26
4
0
该特定代码块的最后一行产生错误“需要左值作为赋值的左操作数”。令人困惑的是为什么最后一行抛出此错误,而倒数第二行却没有。 int p2 = 0; spage = find(in
我想从有金额表的收入表中获取总收入金额 @ColumnInfo(name = "Amount") private int amount; 在我的 IncomeDao 中 @Query("S
我使用emsdk在Ubuntu 14.04 Docker容器上安装了Emscripten,如下所示: emsdk install emscripten-incoming emsdk install c
来自 rust 标准网络库: let listener = TcpListener::bind(("127.0.0.1", port)).unwrap(); info!("Opened socket
我将函数应用配置为期望来自客户端的证书。我今天在 Azure 门户中没有看到该选项。你知道突然发生了什么吗? 最佳答案 顺便说一句,现在该选项已移至“设置”->“配置”->“常规设置”->“需要传入证
我在 docker 容器上运行 fluentd 图像。当我使用 telnet(或 netcat)打开 TCP 连接并发送“消息”字符串时,会出现以下消息: 2017-01-24 10:22:00 +0
是否可以在可穿戴 Android 应用程序中监听传入通知?我尝试实现 NotificationListenerService,但该服务的 onNotificationPosted() 从未被调用: p
我在我的 Slack 工作区中创建了一个传入 Webhook。我正在使用第三方工具将 JSON 对象发布到 Hook url。我想向@user_1 发送通知 我的问题是通知发送到我和该用户@user_
我想在我的 Android 设备上使用 iptables 阻止所有传入连接。我知道 Google 应用程序,如 Play 商店等,需要一些传入连接(例如 GTalkSerivice),它们在阻塞后将不
我正在尝试构建一个基本数据库来帮助筛选许多 CSV 银行交易。 我已经将我所有的交易导入到多个表格中,这些表格来自不同的账户,这些账户的“扣除”列我已经勾选了“假”或“真” 我正在尝试执行“创建 Vi
这个问题在这里已经有了答案: 关闭 11 年前。
我正在使用 arduino,我想储存一些来自网络服务的字符。代码将自行解释: void loop() { static int i = 0; static int count = 0;
我可以在 Scapy 中只嗅探传入或传出数据包吗? 没有在数据包字段上添加过滤器。 最佳答案 简短的回答:没有。 Scapy 的嗅探功能不区分传入和传出数据包。如果你想根据源mac过滤,你可以这样做:
我在 J2ME 工作,想制作一个应用程序来阻止来自某些特定号码的来电。是否可以使用 J2ME 中的编程来阻止某些号码? 最佳答案 不,在 J2ME 中绝对没有办法做到这一点。 关于java - J2M
我有一个应用程序 android,它向服务器 (PC) 发送数据,但我没有收到从 PC 到应用程序的任何数据。而且,我怎样才能为传入的 UDP 消息做一个监听器? 因为我需要一个应用程序即使关闭也能一
我正在测试的单元是一个 IHostedService,它使用来自 Microsoft.Azure.ServiceBus 的 IQueueClient 进行通信。据我所知,没有像 .Receive()
IntelliJ IDEA 提供了一个 Preview Diff用于显示更改的压缩 View 的传出更改。我找不到 的等效项传入更改 .每个单个文件都必须在一个额外的窗口中与以前的修订版或本地更改进行
我正在使用连接在 10G 以太网链路上的专用硬件。我有一些关于处理传入数据报的问题,如下: 如果 NIC 发现不正确的链路级以太网 CRC 会怎样?一些搜索表明错误可能不会被可靠地报告(例如 here
我目前正在编写某种框架,允许其他人为其编写 REST Controller 。当然,我希望那些“其他人”尽可能少地与我的代码中发生的事情进行交互。 具体来说,我想要并且需要访问请求数据(即在请求由其余
我想使用 Google Drive Android API 列出和访问用户的传入项目,但我在 Drive API documentation 中找不到任何方法来执行此操作。 。我只知道如何从屏幕截图中
我是一名优秀的程序员,十分优秀!