为啥一直有打不完的反序列化漏洞补丁,反序列化漏洞到底是啥?只知道weblogic内部会对一些数据做序列化。是否有啥工具可以测试打补丁前后的差别?或求一些较好资料能深入浅出的帮助认识。
新人问题,谢谢老师回答
收起1、反序列漏洞是什么
A:序列化是将对象状态转换为可保持或传输的格式的过程。与序列化相对的是反序列化,它将流转换为对象。所谓反序列化漏洞,就是黑帽子们利用WLS公布的web service接口,将恶意代码通过流注入生成为对象,进而远程执行恶意命令。
2、补丁前后的差别
A、
1、通过bsu命令可以看到补丁版本
2、控制台可以看到Server版本
3、利用POC代码进行恶意攻击测试
3、求资料
A、官方文档是最权威的资料,docs.oracle.com中可以看到公众资料。一些内部资料需要SR才能浏览,当然你也可以在社区留问题问我。