为Java 9计划的“过滤传入序列化数据”解决了数据反序列化安全漏洞吗?
我在浏览Java 9的新功能时发现: JEP 290: Filter Incoming Serialization Data 根据另一篇文章,java中的反序列化数据存在安全问题: Deserialization of untrusted data
基于第一篇文章的文本,我有理由相信这是第二篇文章对问题的反馈,但我不是很确定。这个bug对Java来说还是个问题吗?如果是,新Java是否完全解决了这个问题
你可以在下面搜索框中键入要查询的问题!
我在浏览Java 9的新功能时发现: JEP 290: Filter Incoming Serialization Data 根据另一篇文章,java中的反序列化数据存在安全问题: Deserialization of untrusted data
基于第一篇文章的文本,我有理由相信这是第二篇文章对问题的反馈,但我不是很确定。这个bug对Java来说还是个问题吗?如果是,新Java是否完全解决了这个问题
# 1 楼答案
首先,如您所述,反序列化不受信任的数据不是Java的一个缺陷
当应用程序开发人员/架构师设计其应用程序时,应用程序会在未经验证的情况下对来自不受信任来源的序列化数据进行反序列化,从而引入该漏洞
需要了解的是,此漏洞是由糟糕的应用程序设计引入的
JEP 290允许开发人员和/或安全工程师在数据反序列化之前验证数据。序列化过滤如果正确执行,可以帮助减轻一些反序列化攻击,但不能完全解决问题,而且大规模配置和部署非常复杂
您可以在此处阅读序列化筛选功能的详细评估:https://dzone.com/articles/a-first-look-into-javas-new-serialization-filterin
为了更好地了解反序列化漏洞以及如何保护应用,您可以在此处阅读更多内容:https://dzone.com/articles/why-runtime-compartmentalization-is-the-most-compr