XMLDecoder反序列化漏洞-白红宇

XMLDecoder反序列化漏洞

阅读量：7094 次

发布时间：2019-06-28

本文共 912 字，大约阅读时间需要 3 分钟。

Java 调用XMLDecoder解析XML文件的时候，存在命令执行漏洞。

样例XML文件如下所示：

对应Java代码如下所示：

package xmldecoder;import java.io.BufferedInputStream;  import java.io.FileInputStream;import java.io.FileNotFoundException;import java.io.IOException;  import java.util.ArrayList;  import java.util.List;  public class XmlDecoderTest {	public static void main(String[] args) {		// TODO Auto-generated method stub		java.io.File file = new java.io.File("d:/tmp/xmldecoder.xml");				java.beans.XMLDecoder xd = null;		try {			xd = new java.beans.XMLDecoder(new BufferedInputStream(new FileInputStream(file)));		} catch (FileNotFoundException e) {			// TODO Auto-generated catch block			e.printStackTrace();		}  		          Object s2 = xd.readObject();          xd.close();	}}

执行效果如下所示：

转载于:https://blog.51cto.com/duallay/1961598

你可能感兴趣的文章

【数据结构】【平衡树】treap

查看>>

Jenkins持续部署-Windows环境持续部署探究1

查看>>

linux压缩和解压缩命令1

查看>>

PHP json_decode()解析失败返回NULL 错误是4

查看>>

velocity模板引擎学习(1)