gpt4 book ai didi

java - 堆污染如何导致安全漏洞

转载 作者:行者123 更新时间:2023-12-01 21:38:48 24 4
gpt4 key购买 nike

我在 CERT Java 安全编码标准中发现了这条规则。 Heap Pollution 。我知道这可能会导致程序在运行时抛出异常,但我无法理解这如何会导致诸如 dos 之类的安全问题。有人可以解释一下攻击者可以利用堆污染的场景吗?

最佳答案

攻击者需要能够创建任意对象。例如,如果您公开 Java 序列化,这是可能的。您可以从 Java 序列化构造对象,这在泛型术语中无效,因此可能会导致异常发生。

但是,还有更严重的问题需要担心,例如反序列化对象可能会以非预期的方式执行代码。不幸的是,一些常见的库允许这样做。例如http://www.darkreading.com/informationweek-home/why-the-java-deserialization-bug-is-a-big-deal/d/d-id/1323237

关于java - 堆污染如何导致安全漏洞,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/36666665/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com