为什么反序列化的漏洞时不时就爆出来一个？

2020-07-14 11:25:35 +08:00

1954 次点击

所在节点

11 条回复

amwyyyy

2020-07-14 11:42:38 +08:00

因为漏洞补得不彻底，每次修复后都被发现新漏洞

ila

2020-07-14 11:55:29 +08:00

为了 kpi

zhenlang

2020-07-14 12:00:29 +08:00

害，我面试国内某安全厂商的时候，对方问我知道 java 的序列化与反序列化吗？我一脸懵逼

wysnylc

2020-07-14 12:01:35 +08:00

因为本质上是字符串转对象,参考前端 xss 和 sql 注入只能预防没法杜绝

hyperbin

2020-07-14 12:43:16 +08:00

参考 Flash，对输入高度自由的程序本身就是个天坑

binux

2020-07-14 13:14:12 +08:00

@wysnylc #4 当然能杜绝，限制可序列化的类型就行了。

dongyx

2020-07-14 16:55:10 +08:00

因为反序列化的本质，是把字符串转换为可执行的结构，这种过程天然容易引发安全问题。

madNeal

2020-07-14 17:02:32 +08:00

赞同楼上的观点，反序列化的本质就是容易引发安全问题，所以最好的方法就是不用反序列化。但是有需求，稍不注意，就有漏洞了

sagaxu

2020-07-14 17:08:03 +08:00

反序列化漏洞，fastjson 独占半壁江山

mgcnrx11

2020-07-14 21:12:16 +08:00

msg7086

2020-07-15 09:45:10 +08:00

反序列化，如果只是生成结构体，倒也还好。
但是如果要生成对象，就很可能出现问题，因为涉及到对象代码执行。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.