使用SpringHTTP调用程序的应用程序是否面临Java序列化攻击的风险?
我有一个应用程序,它使用Spring中的使用SpringHTTP调用程序的应用程序是否面临Java序列化攻击的风险?,java,spring,security,Java,Spring,Security,我有一个应用程序,它使用Spring中的HttpInvokerServiceExporter公开端点。我一直在试图调查Java(Apache commons collections)序列化漏洞(如详细所述)是否会导致这种情况 我一直在尝试生成可以发送到端点进行测试的有效负载,但到目前为止我还没有得到一个明确的答案。我已经签出了用于生成有效负载的项目,但我认为问题在于HttpInvoker希望序列化对象的类型为RemoteInvocation,而不是ysoserial生成的类型 因此,我的问题是:
HttpInvokerServiceExporter
公开端点。我一直在试图调查Java(Apache commons collections)序列化漏洞(如详细所述)是否会导致这种情况
我一直在尝试生成可以发送到端点进行测试的有效负载,但到目前为止我还没有得到一个明确的答案。我已经签出了用于生成有效负载的项目,但我认为问题在于HttpInvoker希望序列化对象的类型为RemoteInvocation
,而不是ysoserial
生成的类型
因此,我的问题是:
我找到了自己问题的答案:
RemoteInvocation
实例,其中包含一个要在服务器端执行的方法(即,在某个接口上公开的方法)。它具有以下构造函数:
公共远程调用(字符串方法名、类[]参数类型、对象[]参数)object[]
参数中。这将导致它在尝试在公开接口上执行方法并失败之前被取消序列化,因此它将执行您指定的命令