检测

Java 对象反序列化

critical Web App Scanning 插件 ID 98780

语言:

简介

Java 对象反序列化

描述

序列化是将对象转换为字节流,以便通过网络存储或发送的过程。相反,反序列化是从此字节流重新构建对象的过程。

当应用程序执行不受信任的数据反序列化时,攻击者可以注入自定义序列化的 Java 对象,以触发系统上的恶意代码执行或造成拒绝服务攻击 (DoS)。

已确定目标 Java 应用程序容易受到此攻击的影响,因为它会将用户提供的对象反序列化。

解决方案

应用程序切勿对不受信任的数据进行反序列化。必要时,应执行代码审查以防止对任意类进行反序列化并强化整个进程。

另见

https://cheatsheetseries.owasp.org/cheatsheets/Deserialization_Cheat_Sheet.html

https://resources.infosecinstitute.com/10-steps-avoid-insecure-deserialization/#gref

https://www.owasp.org/index.php/Deserialization_of_untrusted_data

插件详情

严重性: Critical

ID: 98780

类型: remote

发布时间: 2020/10/7

最近更新时间: 2023/12/1

扫描模板: api, pci, scan

风险信息

VPR

风险因素: High

分数: 7.5

CVSS v2

风险因素: High

基本分数: 7.6

矢量: CVSS2#AV:N/AC:H/Au:N/C:C/I:C/A:C

CVSS 分数来源: Tenable

CVSS v3

风险因素: Critical

基本分数: 9

矢量: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

CVSS 分数来源: Tenable

漏洞信息

可利用: true

参考资料信息