XMLDecoder反序列化漏洞-创新互联

Java 调用XMLDecoder解析XML文件的时候,存在命令执行漏洞。

成都创新互联公司专注于班戈网站建设服务及定制,我们拥有丰富的企业做网站经验。 热诚为您提供班戈营销型网站建设,班戈网站制作、班戈网页设计、班戈网站官网定制、微信平台小程序开发服务,打造班戈网络公司原创品牌,更为您提供班戈网站排名全网营销落地服务。创新互联专注于青河网站建设服务及定制,我们拥有丰富的企业做网站经验。 热诚为您提供青河营销型网站建设,青河网站制作、青河网页设计、青河网站官网定制、重庆小程序开发公司服务,打造青河网络公司原创品牌,更为您提供青河网站排名全网营销落地服务。成都创新互联专注于柞水网站建设服务及定制,我们拥有丰富的企业做网站经验。 热诚为您提供柞水营销型网站建设,柞水网站制作、柞水网页设计、柞水网站官网定制、小程序开发服务,打造柞水网络公司原创品牌,更为您提供柞水网站排名全网营销落地服务。

样例XML文件如下所示:



	
		
			
				calc
			
		
		
	

对应Java代码如下所示:

package xmldecoder;

import java.io.BufferedInputStream;  
import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.IOException;  
import java.util.ArrayList;  
import java.util.List;

  


public class XmlDecoderTest {

	public static void main(String[] args) {
		// TODO Auto-generated method stub
		java.io.File file = new java.io.File("d:/tmp/xmldecoder.xml");
		
		java.beans.XMLDecoder xd = null;
		try {
			xd = new java.beans.XMLDecoder(new BufferedInputStream(new FileInputStream(file)));
		} catch (FileNotFoundException e) {
			// TODO Auto-generated catch block
			e.printStackTrace();
		}  
		  
        Object s2 = xd.readObject();  
        xd.close();
	}

}

执行效果如下所示:

XMLDecoder反序列化漏洞

另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


分享名称:XMLDecoder反序列化漏洞-创新互联
文章来源:http://hbruida.cn/article/cehsdi.html