我在Java的CERT安全编码标准中遇到了此规则。堆污染。我知道这可能会导致程序在运行时引发异常,但是我不明白这可能会导致诸如dos之类的安全问题。有人可以解释攻击者可以利用堆污染的情况吗?
攻击者将需要能够创建任意对象。例如,如果您公开Java序列化,则可以实现。您可以从Java序列化构造对象,该对象在泛型术语中无效,因此可能导致异常的发生。
但是,还有更严重的问题要担心,例如反序列化对象,这些对象可能以非预期的方式执行代码。不幸的是,一些常见的库允许这样做。例如http://www.darkreading.com/informationweek-home/why-the-java-deserialization-bug-is-a-big-deal/d/d-id/1323237
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句